Aggiornamenti recenti Aprile 2nd, 2025 10:39 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Corea del Nord: la minaccia cyber si espande in Europa grazie ai professionisti IT
- Le vulnerabilità dei tool RMM aprono nuove opportunità ai cybercriminali
- Una campagna di phishing usa il DNS-over-HTTPS per eludere i controlli
- CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti dello smishing a tema INPS
- SharePoint inondato dallo spam: la colpa è di un dominio Stream compromesso
Una falla di Windows 95 oggi può creare grossi guai
Una vecchia vulnerabilità consentirebbe a un pirata di ottenere in un attimo username e password dell’account Windows. E se stiamo usando il Microsoft Account…
Può una vulnerabilità del 1997 diventare un problema nel 2016? Nel caso di Windows la risposta è sì. A spiegarlo in tutti i dettagli è Valdik, un ricercatore russo che ha ripreso in mano la questione dopo che Microsoft ha cominciato a spingere sull’uso del Microsoft Account per accedere al sistema operativo.
Come si legge nel suo post, tutto nasce da un sistema di autenticazione “semplificato” pensato per garantire un accesso più rapido alle risorse di rete locale. La sua introduzione risale ai tempi di Windows 95/NT, quando l’ambiente tipo in cui si collocava un terminale era quello della rete aziendale.
Gli sviluppatori Microsoft, ai tempi, avevano pensato bene di facilitare la vita degli utenti prevedendo l’invio automatico dei dati di accesso per accedere a servizi e risorse all’interno della rete locale.
In pratica, quando i programmi Microsoft (Explorer, Outlook, Internet Explorer e oggi anche Edge) tentavano un collegamento, venivano inviati automaticamente il nome di dominio, il nome utente e l’hash della password. Il problema è che il sistema non distingue tra una rete locale e Internet. Queste informazioni, quindi, possono raggiungere anche un server esterno.
Col tempo, questo metodo è stato abbandonato per ovvie ragioni di sicurezza. Ma non in tutti gli ambiti. Questo comportamento, infatti, è rimasto identico per quanto riguarda le richieste tramite protocollo Server Message Block (SMB) usato per l’accesso a file condivisi, stampanti e altre risorse.
Risultato: un pirata informatico può ottenere queste informazioni semplicemente creando un server SMB accessibile all’esterno e inserendo un collegamento SMB del tipo “smb://” o “file://” all’interno di una pagina Web o di un’email per attirare la potenziale vittima e ricevere le informazioni di accesso.
Valdik ha realizzato un sito Web che dimostra il funzionamento dell’exploit. Se ci colleghiamo con IE o Edge, proverà a catturare username e password del nostro account. Ci sarà da fidarsi?
Ad aggravare la situazione c’è il fatto che l’hashing della password, nel caso questa non sia troppo lunga, può essere decodificato con una certa facilità attraverso brute forcing o attacchi a dizionario. Ottenere le informazioni di cui sopra, quindi, è terribilmente semplice.
Fino a qualche tempo fa, la pericolosità di questa vulnerabilità poteva essere considerata trascurabile. Ottenere in remoto le credenziali di accesso all’account di Windows, infatti, non permette (di per sé) di avere accesso al sistema.
Da quando Microsoft (a partire da Windows 8) ha cominciato a invitare i suoi utenti a utilizzare il Microsoft Account per accedere al sistema, però, la questione ha assunto una rilevanza ben diversa. Sfruttando la vulnerabilità, infatti, è possibile avere accesso in un attimo ai dati memorizzati su OneDrive e a tutti i servizi (Skype, Xbox Live, Office, Outlook.com) eventualmente collegati all’account.
Un solo account per ogni servizio Microsoft…
Come spiega Valdik, sfruttare la vulnerabilità è semplice. Per attivare l’exploit è infatti sufficiente il collegamento alla pagina Web (nel caso di IE ed Edge) o la semplice visualizzazione dell’email in Outlook. Con Chrome e Firefox le cose sono più complicate, perché i due browser accettano i collegamenti del tipo “file://” solo se vengono incollati o inseriti manualmente nella barra degli indirizzi.
La soluzione? Secondo Valdik, starebbe in una modifica al registro di sistema che bloccherebbe le comunicazioni SMB e che il ricercatore illustra nel suo post. Per applicarla è necessario creare e applicare un file.reg con questo contenuto:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0] "RestrictReceivingNTLMTraffic"=dword:00000002 "RestrictSendingNTLMTraffic"=dword:00000002
Per il momento, comunque, può essere una buona idea modificare il sistema di accesso a Windows utilizzando un account locale al posto del Microsoft Account. Non si sa mai…
Condividi l'articolo
SwiftKey nel caos: sospese le funzioni cloud
Come la polizia può ottenere le chat di Whatsapp (su iOS)
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività... -
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and Management... -
Mimecast: con l’AI una nuova era per la Data Loss... Ogni nuova tecnologia porta con sé nuovi rischi. Nel caso... -
Penetration testing, una volta ogni tanto non basta più:... Il processo di penetration testing è ormai una pratica... -
Il ransomware Medusa ha colpito oltre 300 infrastrutture... Il bilancio delle vittime del ransomware Medusa è...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività...
-
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and...
-
Una campagna di phishing usa il DNS-over-HTTPS per eludere... I ricercatori di Infoblox hanno scoperto una nuova campagna... -
CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti... Nel corso dell’ultima settimana, il CERT-AGID ha rilevato... -
SharePoint inondato dallo spam: la colpa è di un dominio... Un vecchio dominio di Microsoft Stream è stato compromesso...
Ransomware: la serie
No posts found.
