Freym PC Blog

Vulnerabilidad en el Explorador de Windows

Admin
March 21, 2025
Vulnerabilidad en el Explorador de Windows
Translate to:

Descripción de la vulnerabilidad:

La vulnerabilidad surge porque el Explorador de Windows confía implícitamente en los archivos .library-ms y procesa automáticamente ciertos tipos de archivos inmediatamente después de su extracción.

Un atacante podría aprovechar esta confianza implícita y el comportamiento de procesamiento automático de archivos para filtrar credenciales. Esto se logra creando un archivo .library-ms especialmente diseñado que contiene una ruta SMB, comprimiéndolo dentro de un archivo RAR/ZIP y luego haciendo que la víctima lo extraiga.

Posibilidad de explotación:

Ataques de filtrado de credenciales:

    • La vulnerabilidad permite a los atacantes filtrar credenciales NTLM mediante la creación de archivos .library-ms maliciosos que contienen rutas SMB.

    • Cuando una víctima extrae un archivo comprimido que contiene este archivo .library-ms, Windows intenta acceder a la ruta SMB especificada, lo que puede resultar en la fuga de credenciales.

Ataques de Pass-the-Hash:

    • Las credenciales filtradas pueden utilizarse para ataques de Pass-the-Hash, lo que permite a los atacantes moverse lateralmente dentro de una red.

Descifrado de hash NTLM:

    • Los hash NTLM capturados también pueden ser descifrados sin conexión, lo que permite a los atacantes obtener las contraseñas en texto plano.

Pruebas de concepto (PoC):

    • Se han desarrollado PoC que demuestran la viabilidad de estos ataques. Estas PoC suelen implicar la creación de archivos .library-ms maliciosos y la configuración de servidores SMB para capturar las credenciales.

    • Estas pruebas demuestran que es posible explotar la confianza implícita de Windows en los archivos .library-ms para realizar ataques de filtrado de credenciales.

Consideraciones importantes:

    • Es crucial mantener los sistemas Windows actualizados con los últimos parches de seguridad para mitigar el riesgo de explotación.

    • Se recomienda tener precaución al abrir archivos comprimidos de fuentes no confiables.

    • Las vulnerabilidades que involucran el protocolo SMB son de alto riesgo, ya que pueden permitir la propagación de malware dentro de las redes.

Comments (0)

No comments yet. Be the first to comment!