L’ultimo martedì di Patch di Microsoft include l’ avviso di sicurezza ADV170014 , una patch correttiva che a Redmond hanno definito come “un miglioramento di sicurezza opzionale” per la tecnologia NT LAN Manager (NTLM). In realtà il problema di fondo non è affatto risolto e i rischi connessi al baco sono tutto fuorché “opzionali”.
Tutto è cominciato qualche mese fa, quando il ricercatore colombiano Juan Diego ha avvisato Microsoft della possibilità di rubare gli hash delle password NTLM senza alcun interazione da parte dell’utente . Gli hash possono poi essere inviati a un server remoto e crackati con la conseguente, potenziale violazione della rete locale sotto attacco .
La parte “misteriosa” del bug? Diego ha trovato il modo di abusare di un file SCF (Shell Command File) per condurre l’attacco: basta infatti copiare un suddetto file SCF malevolo in una cartella condivisa sulla LAN locale senza password, e i comandi al suo interno vengono eseguiti immediatamente con la violazione delle password NTLM di cui sopra.
Diego ha avvisato Microsoft dell’esistenza del bug il 24 maggio scorso, e Microsoft ha rilasciato una patch – per giunta “opzionale” e disponibile solo per Windows 10/Server 2016 – il 18 ottobre, ben 148 giorni dopo. Quel che è peggio è che la patch non elimina la radice del problema – cioè l’avvio immediato di un file script SCF che in genere andrebbe eseguito manualmente – ma si limita a bloccare il trasferimento degli hash delle password sui server remoti.
In effetti il motivo per cui il file SCF venga eseguito automaticamente continua a rappresentare un’incognita, e al momento il ricercatore sudamericano dice di essere al lavoro su un secondo tentativo di exploit di una falla probabilmente vecchia quasi quanto Windows.