Povestea spusă pe scurt sună cam așa: toate sistemele Windows sunt vulnerabile la a expune parolele pentru conturile Microsoft și credențialele de conectare pe VPN. Adică orice utilizator care folosește VPN-ul poate să își divulge fără să vrea parolele din Windows.
Problema în cauză este legată de modul în care Windows-ul face managementul opțiunilor de autentificare atunci când e necesară accesarea unui share prin VPN.
Via ValdikSS de la ProstoVPN aflăm că dacă cineva vrea să obțină datele de autentificare o poate face extrem de simplu: creează un email în care introduce o poză în spatele căreia atașează un link către un share propriu, pentru care poate să citească toate încercările de autentificare.
Dacă un utilizator încearcă să deschidă link-ul via Internet Explorer, Edge sau Outlook și sistemul e conectat la Internet, atunci Windows-ul va încerca autentificarea cu combinația curentă de cont/parolă, pe care le va trimite pe share-ul atacatorului. Da, parola e criptată, însă se vede contul și hash-ul NTLM. De aici încolo operația e simplă, identificarea exactă a parolei fiind o treabă simplă, date fiind nenumăratele tabele de corespondență hash NTLM/parolă, existente pe internet.
Din păcate problema nu e nouă, se pare că există de prin 1997 – la vremea respectivă problema nu era foarte importantă pentru că aveam de a face cu conturile și parole locale. Acum, când ne putem conecta cu conturi Live ID pe Windows, astfel de vulnerabilități sunt deosebit de periculoase.
Cum ne putem proteja până Microsoft rezolvă problema în toate versiunile de Windows? Simplu: blocați din firewall conexiunile outgoing pentru SMB (port-ul 445).
