Hay parches no oficiales gratuitos disponibles para una nueva vulnerabilidad de día cero en Windows que permite a atacantes remotos robar credenciales NTLM engañando a sus objetivos para que vean archivos maliciosos en el Explorador de Windows.
NTLM se ha explotado ampliamente en ataques de retransmisión NTLM (donde los actores de amenazas obligan a los dispositivos de red vulnerables a autenticarse en servidores controlados por el atacante) y ataques de paso de hash (donde explotan vulnerabilidades para robar hashes NTLM, que son contraseñas con hash).
Los atacantes utilizan el hash robado para autenticarse como el usuario comprometido, obteniendo acceso a datos confidenciales y propagándose lateralmente por la red. El año pasado, Microsoft anunció sus planes de retirar el protocolo de autenticación NTLM en futuras versiones de Windows 11.
Los investigadores de ACROS Security descubrieron la nueva vulnerabilidad de divulgación de hash NTLM en archivos SCF mientras desarrollaban parches para otro problema de divulgación de hash NTLM. Esta nueva vulnerabilidad de día cero no tiene un CVE-ID asignado y afecta a todas las versiones de Windows, desde Windows 7 hasta las últimas versiones de Windows 11 y desde Server 2008 R2 hasta Server 2025.
«Esta vulnerabilidad permite a un atacante obtener las credenciales NTLM del usuario al hacer que este acceda a un archivo malicioso en el Explorador de Windows; por ejemplo, al abrir una carpeta compartida o un disco USB con dicho archivo, o al acceder a la carpeta de Descargas donde dicho archivo se descargó previamente automáticamente de la página web del atacante«, declaró el martes Mitja Kolsek, director ejecutivo de ACROS Security.
«Cabe destacar que, si bien este tipo de vulnerabilidades no son críticas y su explotabilidad depende de varios factores (por ejemplo, que el atacante ya esté en la red de la víctima o tenga un objetivo externo, como un servidor Exchange público, al que retransmitir las credenciales robadas), se ha descubierto que se utilizan en ataques reales«.
Microparches disponibles para todos los usuarios de 0patch.
ACROS Security ahora ofrece parches de seguridad gratuitos y no oficiales para esta vulnerabilidad de día cero a través de su servicio de microparches 0Patch para todas las versiones de Windows afectadas hasta que Microsoft publique las correcciones oficiales.
«Informamos de este problema a Microsoft y, como de costumbre, publicamos microparches que seguirán siendo gratuitos hasta que Microsoft publique una solución oficial«, añadió Kolsek. «Nos reservamos los detalles sobre esta vulnerabilidad hasta que la solución de Microsoft esté disponible para minimizar el riesgo de explotación maliciosa«.
Para instalar el microparche en su PC con Windows, cree una cuenta e instale el agente 0patch. Una vez iniciado, el agente aplica el microparche automáticamente sin necesidad de reiniciar el sistema si no existe una política de parches personalizada que lo bloquee.
«Estamos al tanto de este informe y tomaremos las medidas necesarias para proteger a los clientes«, declaró un portavoz de Microsoft.
En los últimos meses, 0patch ha reportado otras tres vulnerabilidades de día cero que Microsoft ha parcheado o aún no ha solucionado, incluyendo un error de tema de Windows (parcheado como CVE-2025-21308), una omisión de Mark of the Web en Server 2012 (aún un día cero sin parche oficial) y una vulnerabilidad de divulgación de hash NTLM en archivos URL (parcheada como CVE-2025-21377).
0patch también ha revelado otras fallas de divulgación de hash NTLM en el pasado, como PetitPotam, PrinterBug/SpoolSample y DFSCoerce, que aún no han recibido parche.
Fuente y redacción: underc0de.org
