Esta vulnerabilidad surge porque el Explorador de Windows confía implícitamente en los archivos .library-ms y procesa automáticamente ciertos tipos de archivos inmediatamente después de su extracción. Un atacante podría aprovechar esta confianza implícita y el comportamiento de procesamiento automático de archivos para filtrar credenciales, que luego pueden utilizarse para ataques de Pass-the-Hash o para descifrar hash NTLM sin conexión.
Cuando un archivo .library-ms especialmente diseñado que contiene una ruta SMB se comprime dentro de un archivo RAR/ZIP y posteriormente se extrae, el Explorador de Windows analiza automáticamente su contenido gracias a su mecanismo integrado de indexación y vista previa.
Este comportamiento se debe a que el Explorador de Windows procesa automáticamente ciertos tipos de archivo tras la extracción para generar vistas previas, miniaturas o metadatos de índice, incluso si el usuario nunca abre ni hace clic en el archivo explícitamente.
El formato de archivo .library-ms se basa en XML y el Explorador de Windows lo utiliza para definir las ubicaciones de búsqueda y de bibliotecas. Tras la extracción, el servicio de indexación y el mecanismo de análisis de archivos integrado de Explorer analizan inmediatamente el contenido del archivo .library-ms para mostrar los iconos, miniaturas o metadatos correspondientes.
Si el archivo proporcionado es manipulado y contiene una etiqueta <simpleLocation> que apunta directamente a un servidor SMB controlado por el atacante, Explorador de Windows intenta resolver automáticamente esta ruta SMB (por ejemplo, \\192.168.1.116) para recopilar metadatos e información del archivo de índice. Esta acción activa un protocolo de enlace de autenticación NTLM implícito desde el sistema de la víctima al servidor SMB controlado por el atacante. En consecuencia, el hash NTLMv2 de la víctima se envía sin interacción explícita del usuario.
Explotación activa
Esta vulnerabilidad se está explotando activamente y ya se ha puesto a la venta en el foro xss.is por el actor de amenazas conocido como «Krypt0n». Este actor de amenazas también es el desarrollador del malware denominado «EncryptHub Stealer».
El analista 0x6rss ha creado un exploit y un demostración de la explotación. Microsoft ya solucionó esta vulnerabilidad en el martes de parches de marzo, por lo que se recomienda actualizar a la brevedad.
Fuente y redacción: segu-info.com.ar
