El cliente telnet (telnet.exe) que se distribuye con Windows 2000 utiliza siempre por defecto NTLM durante el proceso de autenticación. Un atacante puede diseñar una página web o mensaje de correo HTML que, al visualizarse en el sistema de la víctima, lance de forma automática una sesión telnet dirigida a su sistema, y que le permitiría capturar credenciales y comprometer las contraseñas.
NTLM (NT LanMan) es un proceso de autenticación que se incorporó en Windows NT y que utiliza el sistema desafío/respuesta para evitar que las contraseñas viajen por la red. Cuando el proceso de autenticación comienza, el cliente envia una solicitud al servidor, al que éste responde con un desafío aleatorio. El cliente envía al servidor la respuesta, resultado de una función hash en la que intervienen la cadena desafío y su contraseña. Por último el servidor realiza esa misma función de forma local y compara el resultado con la respuesta del cliente, para ver si coinciden y, por tanto, ha utilizado la contrase_a correcta.
Durante todo este proceso en ningon momento la contrase_a viaja por la red, sino el resultado de una funci¢n donde uno de los par metros de partida es la contrase_a. Para comprometer este sistema un atacante debe conocer tanto el desaf¡o c¢mo la respuesta, e introducir estos elementos en un programa que, bien por fuerza bruta o diccionario, calcule una y otra vez la funci¢n hash entre el desaf¡o y posibles contrase_as hasta que el resultado coincida con la respuesta, lo que indicar que ha utilizado, y encontrado, la contrase_a correcta.
La mayor¡a de los programas que interpretan HTML, entre ellos los difundidos Internet Explorer, Outlook, y Netscape, lanzan de forma autom tica el cliente telnet.exe cuando encuentran una URL tipo «telnet://». Un documento HTLM puede provocar que la v¡ctima que los visualice lance de forma autom tica una sesi¢n telnet contra el sistema del atacante, ‘ste a su vez intentar¡a acceder v¡a SMB a un servidor donde la v¡ctima tiene acceso, utilizar¡a a continuaci¢n la negociaci¢n comenzada por la v¡ctima para hacer de puente entre el cliente telnet y el servidor SMB, lo que le permite escuchar y capturar todo el tr fico generado en el desaf¡o/respuesta NTLM. Otra opci¢n consiste en que el atacante genere de forma directa los desaf¡os que el cliente telnet debe responder, lo que facilitar¡a la labor de ataque al poder elegir los desaf¡os y no utilizar los aleatorios que un servidor genera.
Microsoft facilita un parche que corrige este problema de Windows 2000, disponible desde la direcci¢n:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24399
Los usuarios de Windows NT no se encuentran afectados por esta vulnerabilidad, ya que el cliente telnet.exe distribuido con este sistema no utiliza NTLM.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=700
M s informaci¢n:
Vulnerability «Windows 2000 Telnet Client NTLM Authentication»
http://www.microsoft.com/technet/security/bulletin/ms00-067.asp
FAQ Microsoft Security Bulletin (MS00-067)
http://www.microsoft.com/technet/security/bulletin/fq00-067.asp
NTLM Replaying via Windows 2000 Telnet Client
http://www.atstake.com/research/advisories/2000/a091400-1.txt
Redacci¢n Hispasec
redaccion@hispasec.com
http://www.hispasec.com
