El investigador de seguridad Nafiez expone una vulnerabilidad previamente desconocida que afecta los archivos LNK de Windows (accesos directos) que podrían permitir a los atacantes ejecutar código de forma remota sin la interacción del usuario. A pesar de lanzar el concepto de prueba de trabajo (POC), Microsoft se negó a parchear el defecto, diciendo que “no cumple con la barra de seguridad para el servicio”.
Los defectos descubiertos incluyen vectores de ataque sofisticados que aprovechan elementos específicos dentro de la estructura de los archivos de acceso directo de Windows. Al elaborar archivos LNK maliciosos con soldaduras ambientales manipuladas y rutas UNC, un atacante puede desencadenar una conexión de red silenciosa cuando el usuario simplemente abre una carpeta que contiene atajos maliciosos.
“Si el acceso al usuario es una carpeta con un archivo LNK, el Explorer analiza los archivos almacenados en la carpeta. Aquí es donde la inicialización del archivo está lista (para llamarse)”, explicó Nafiez en su análisis técnico.
Esta vulnerabilidad es particularmente preocupante porque los usuarios no necesitan hacer clic en atajos. Simplemente explore un directorio que contiene archivos LNK maliciosos y es suficiente para lanzar un ataque.
Se han publicado detalles de POC
Las exploits funcionan manipulando varios elementos importantes dentro de la estructura del archivo LNK.
Configuración del indicador y entorno de Hasarguments VeriaBlodatablock controla el comportamiento de los archivos LNK para controlar el flujo de ejecución que incrusta las rutas UNC (como \ 192.168.44.128 \ c) con configuración de destino tamaño de bloque específico y valores de firma como configuración objetivo.
Windows Explorer procesa estos archivos especialmente creados en una cadena de interfaces COM, como iinitializenetworkfolder e ishellfolder2, que manejan los recursos de red. Este proceso comienza automáticamente cuando accede a la carpeta, creando la oportunidad de ejecutarse en silencio.
Microsoft justificó su decisión de no parchear la vulnerabilidad al afirmar que la función de seguridad Web (MOTW) proporciona una protección adecuada.
MOTW es una etiqueta digital colocada en un archivo descargado que es potencialmente malicioso y desencadena una advertencia de seguridad antes de que se ejecute.
Esta respuesta refleja el enfoque de Microsoft para las vulnerabilidades LNK anteriores. Según los estándares de servicios de seguridad, Microsoft aborda las vulnerabilidades solo cuando “viola los objetivos o la intención de un perímetro de seguridad o característica de seguridad” y cumple con el umbral de gravedad del servicio.
“Después de compilar su código, ejecute el ejecutable para generar el archivo LNK y ejecute la herramienta de respuesta que captura el hash NTLM”, dice el investigador Nafiez.
Los expertos en seguridad han expresado su preocupación de que confiar únicamente en MOTW puede no ser suficiente, ya que existen tecnologías de derivación conocidas. Los investigadores de Elastic Security Labs descubrieron recientemente una técnica llamada “LNK STOTPING”, que ha sido utilizado por actores de amenaza durante al menos seis años para evitar los controles MOTW.
Esta no es la primera vez que se usa un archivo LNK. Microsoft abordó previamente una vulnerabilidad crítica en los archivos LNK. Esto incluye fallas en la ejecución de código remoto en 2017 y otra vulnerabilidad que fue explotada activamente en 2010.
Los archivos LNK se han convertido en un vector de ataque cada vez más popular para los actores de amenazas. Como señalan los investigadores de seguridad de Intezer, “los archivos LNK (también conocidos como atajos de Windows) pueden parecer simples, pero los actores de amenaza pueden usarlos para ejecutar otros binarios y hacer un gran daño”.
El código de prueba de concepto disponible públicamente plantea preocupación de que esta vulnerabilidad pronto podría ser armada por actores de amenaza en ataques reales.
¿Eres de los equipos SOC y DFIR? – Analice los incidentes de malware y comience cualquiera.run-> gratis.
