Aunque es antigua, un experto en seguridad ha recuperado un truco que permite robar las sesiones a otros usuarios. Funciona en todas las versiones de Windows y no necesita utilizar privilegios de administrador del equipo. Lo realmente importante, es que permite el robo de las sesiones de otros usuarios sin conocer la contraseña de acceso a la cuenta.
Que todavía no se haya corregido confunde a los expertos en seguridad. Muchos la han reportado a Microsoft, pero desde la compañía tampoco han salido al paso ni han confirmado si se trata de una función disponible en las diferentes versiones. El investigador Alexander Korznikov ha sido el encargado de reportar el ataque conocido como “escalada de privilegios y robo de sesión”. Para llevar a cabo este ataque no se necesita de acceso directo de forma necesaria, pero sí es una vía que permitiría la realización del mismo. La complementaria sería la utilización de la herramienta Escritorio Remoto de Microsoft.
Este ataque resulta muy útil, ya que permitiría el robo de archivos existentes en otras cuentas del equipo o bien la escalada de privilegios a través de otra cuenta, permitiendo la instalación de software de forma no autorizada.
El único requisito que debe existir es que en la cuenta a la que se quiere acceder se haya iniciado sesión con anterioridad. Es decir, que esté activa pero bloqueada.
Cómo robar una sesión en Windows
Lo más preocupante es que es un ataque bastante sencillo de ejecutar. Una vez se ha comprendido el proceso, en menos de un minuto se puede aplicar. Todo esto, sin necesidad de tener unos conocimientos extensos en Windows ni administración de sistemas.
Existen tres formas de llevar a cabo el ataque:
- A través de la creación de servicios.
- Utilizando CMD.
- Utilizando CMD y el gestor de tareas.
Ha continuación se pueden ver los tres vídeos en los que se demuestra cómo llevar a cabo cada uno de estos tres ataques:
En principio, tanto el segundo como el tercero son los métodos más sencillos de utilizar. En ambos casos, el proceso total no supera los dos minutos.
Consecuencias a nivel de seguridad
Ahora que la seguridad y privacidad son dos temas importantes, este “fallo” aviva un poco más la polémica. Tal y como hemos indicado, desde Microsoft no han hecho ninguna puntualización y el robo de sesiones aún se puede realizar.
Para ver cuál es el calado de este “fallo”, nos imaginamos que nos encontramos en una empresa en la que en un equipo existe un usuario de administrador y otro con sus documentos correspondientes. El usuario “normal” inicia sesión realiza gestiones y bloquea su equipo. Entonces el usuario administrador inicia sesión y utiliza uno de los métodos anteriores. En menos de dos minutos tendrá acceso a los documentos del otro usuarios. Si hablamos de una empresa, muchos de ellos pueden ser confidenciales.
El inicio de todo esto radica en el año 2011, cuando se descubrió un comportamiento similar en las versiones de Windows. Sorprende que desde entonces Microsoft no haya tomado medidas. La única justificación es que vean este comportamiento como el esperado. Si es así, se trata de un problema de seguridad para los usuarios.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad