Aggiornamenti recenti Aprile 19th, 2024 9:00 AM
Ago 03, 2016 Marco Schiaffino Approfondimenti, Hacking, In evidenza, Prodotto, RSS, Vulnerabilità 0
Può una vulnerabilità del 1997 diventare un problema nel 2016? Nel caso di Windows la risposta è sì. A spiegarlo in tutti i dettagli è Valdik, un ricercatore russo che ha ripreso in mano la questione dopo che Microsoft ha cominciato a spingere sull’uso del Microsoft Account per accedere al sistema operativo.
Come si legge nel suo post, tutto nasce da un sistema di autenticazione “semplificato” pensato per garantire un accesso più rapido alle risorse di rete locale. La sua introduzione risale ai tempi di Windows 95/NT, quando l’ambiente tipo in cui si collocava un terminale era quello della rete aziendale.
Gli sviluppatori Microsoft, ai tempi, avevano pensato bene di facilitare la vita degli utenti prevedendo l’invio automatico dei dati di accesso per accedere a servizi e risorse all’interno della rete locale.
In pratica, quando i programmi Microsoft (Explorer, Outlook, Internet Explorer e oggi anche Edge) tentavano un collegamento, venivano inviati automaticamente il nome di dominio, il nome utente e l’hash della password. Il problema è che il sistema non distingue tra una rete locale e Internet. Queste informazioni, quindi, possono raggiungere anche un server esterno.
Col tempo, questo metodo è stato abbandonato per ovvie ragioni di sicurezza. Ma non in tutti gli ambiti. Questo comportamento, infatti, è rimasto identico per quanto riguarda le richieste tramite protocollo Server Message Block (SMB) usato per l’accesso a file condivisi, stampanti e altre risorse.
Risultato: un pirata informatico può ottenere queste informazioni semplicemente creando un server SMB accessibile all’esterno e inserendo un collegamento SMB del tipo “smb://” o “file://” all’interno di una pagina Web o di un’email per attirare la potenziale vittima e ricevere le informazioni di accesso.
Ad aggravare la situazione c’è il fatto che l’hashing della password, nel caso questa non sia troppo lunga, può essere decodificato con una certa facilità attraverso brute forcing o attacchi a dizionario. Ottenere le informazioni di cui sopra, quindi, è terribilmente semplice.
Fino a qualche tempo fa, la pericolosità di questa vulnerabilità poteva essere considerata trascurabile. Ottenere in remoto le credenziali di accesso all’account di Windows, infatti, non permette (di per sé) di avere accesso al sistema.
Da quando Microsoft (a partire da Windows 8) ha cominciato a invitare i suoi utenti a utilizzare il Microsoft Account per accedere al sistema, però, la questione ha assunto una rilevanza ben diversa. Sfruttando la vulnerabilità, infatti, è possibile avere accesso in un attimo ai dati memorizzati su OneDrive e a tutti i servizi (Skype, Xbox Live, Office, Outlook.com) eventualmente collegati all’account.
Come spiega Valdik, sfruttare la vulnerabilità è semplice. Per attivare l’exploit è infatti sufficiente il collegamento alla pagina Web (nel caso di IE ed Edge) o la semplice visualizzazione dell’email in Outlook. Con Chrome e Firefox le cose sono più complicate, perché i due browser accettano i collegamenti del tipo “file://” solo se vengono incollati o inseriti manualmente nella barra degli indirizzi.
La soluzione? Secondo Valdik, starebbe in una modifica al registro di sistema che bloccherebbe le comunicazioni SMB e che il ricercatore illustra nel suo post. Per applicarla è necessario creare e applicare un file.reg con questo contenuto:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0] "RestrictReceivingNTLMTraffic"=dword:00000002 "RestrictSendingNTLMTraffic"=dword:00000002
Per il momento, comunque, può essere una buona idea modificare il sistema di accesso a Windows utilizzando un account locale al posto del Microsoft Account. Non si sa mai…
Apr 18, 2024 0
Apr 17, 2024 0
Apr 10, 2024 0
Mar 15, 2024 0
Apr 19, 2024 0
Apr 18, 2024 0
Apr 17, 2024 0
Apr 16, 2024 0
Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 11, 2024 0
Secondo l’ultimo report di Sophos, “It’s Oh...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 19, 2024 0
Il mondo del cybercrimine continua a mettere in difficoltà...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 18, 2024 0
I ricercatori di Cisco Talos hanno individuato un...Apr 17, 2024 0
“In un contesto di crescente fragilità, gli sforzi di...Apr 17, 2024 0
I mantainer di PuTTY, il client open-source di SSH e...