Windows es un sistema operativo que lleva entre nosotros más de 30 años. Aunque cada poco tiempo el sistema operativo ha sido renovado (actualmente la versión más reciente es Windows 10, liberada hace justo un año), muchos protocolos que deben mantener la compatibilidad con las versiones antiguas se mantienen tal cual se desarrollaron por primera vez, lo que está abriendo la puerta a un gran número de nuevos ataques informáticos aprovechando las debilidades de estos antiguos protocolos y la forma de trabajar con ellos.
Recientemente, expertos de seguridad han detectado una nueva técnica de ataque aprovechando un fallo en la forma con la que Microsoft gestiona la autenticación de los recursos compartidos, una forma obsoleta y que puede permitir a un atacante engañar al sistema operativo para que envíe información confidencial sobre los usuarios a su propia red, incluso a través de Internet. Os recomendamos visitar nuestro tutorial sobre por qué una VPN no es suficiente para tener privacidad.
Para explotar este fallo, lo único que se debe hacer es incrustar un enlace a un recurso SMB dentro de una web o un correo electrónico. Al intentar acceder a dicho recurso desde Internet Explorer, Edge u Outlook, debido a la forma en que Windows maneja los credenciales de autenticación para los recursos compartidos de una red, la víctima enviará automáticamente los datos de inicio de sesión del dominio a la propia red del atacante, incluso a través de Internet.
Mientras que los usuarios de Windows 7 y versiones anteriores se autenticaban a los recursos de la red con cuentas locales y no tenían necesidad de vincular ninguna cuenta de Microsoft a su sistema operativo, a partir de Windows 8 este fallo se agrava considerablemente, ya que un atacante puede hacerse con el control completo de nuestra cuenta de Microsoft, incluido el acceso a Skype, Xbox Live, Office 365, OneDrive y Azure, entre otros servicios. Además, según los expertos, si nos conectamos a un recurso SMB desde una VPN, el atacante puede también hacerse con el control de dicha cuenta, algo bastante más peligroso.
La contraseña de la cuenta de Microsoft no se envía en texto plano, sino que se envía como un hash NTLM, algo que hace tiempo que ha demostrado ser inseguro. Además, no es la primera vez que Windows queda en evidencia por utilizar este sistema de autenticación para recursos compartidos, ya que se lleva hablando de ello desde 1997, incluso se han realizado varias demostraciones en pasadas conferencias Black Hat.
Cómo protegernos de este fallo de Windows
A medida que han pasado los años, Microsoft ha ido solucionando otras vulnerabilidades antiguas de manera que no comprometieran a los usuarios, sin embargo, la gestión de credenciales del protocolo SMB no ha sido una de ellas.
Si queremos evitar que un atacante pueda hacerse con nuestros datos mediante ingeniería social, lo recomendable es bloquear todas las conexiones salientes el puerto utilizado por SMB (445) en nuestro router o firewall. Además, como medida de seguridad adicional, debemos desvincular nuestra cuenta de Microsoft del inicio de sesión de Windows y utilizar una cuenta local para ello, evitando así que, en caso de robo de los credenciales, se comprometa toda nuestra cuenta de Microsoft.
¿Crees que Microsoft debería repasar la seguridad de sus componentes y protocolos más antiguos?