Secretaría de Finanzas

Search Google Appliance

Tecnotips

Microsoft mantiene fallas en Windows

Microsoft no solucionará falla de Windows que permite a los piratas informáticos robar nombres de usuario y contraseñas de cualquier usuario conectado simplemente incitándolo a visitar un sitio web malicioso.

El defecto es ampliamente conocido desde hace aproximadamente 20 años. Fue descubierto en 1997 por Aaron Spangler y más recientemente en 2015 el problema ha tomado lugar en una conferencia de piratería en Las Vegas.

 


 

La falla no se consideró un problema importante hasta que Windows 8 empezó a permitir a los usuarios iniciar sesión en sus cuentas de Microsoft - que enlaza sus cuentas de Xbox, Hotmail y Outlook, Office y Skype, entre otros. Durante la noche, el ataque amplió su alcance, y ahora esto permite a un atacante llevar a cabo una adquisición completa de una cuenta de Microsoft.

 

La falla está centrada en Internet Explorer y Edge (Windows 10) que permiten al usuario acceder a recursos compartidos de red locales, pero no bloquean completamente las conexiones a los recursos compartidos remotos.

Un hacker tiene que engañar a un usuario para que visite una página web en Internet Explorer o Edge que señala a su propio recurso compartido de red. El navegador enviará de forma inadvertida nombres de usuario y contraseñas con algoritmo hash en la red compartida, que luego pueden ser recogidos rápidamente y robado.

 

Si las contraseñas son débiles, pueden ser fácilmente decodificados y utilizadas para acceder a las cuentas del usuario. El fallo también puede ser activado mediante el envío de un correo electrónico, truco para una víctima que utiliza Microsoft Outlook.

Privacidad perfecta, un proveedor de red privada virtual (VPN), dijo en un blog que las conexiones VPN también se ven afectados. Si un usuario visita un sitio mientras están conectados a una red privada virtual, sus credenciales también tendrán fugas que afectan el anonimato del usuario.


Fuentes:

ZDNet. (agosto 2, 2016). Microsoft won't fix Windows flaw that lets hackers steal your username and password. Recuperado el 2 de agosto de 2016, de: http://www.zdnet.com/article/windows-attack-can-steal-your-username-password-and-other-logins/?ftag=TRE17cfd61&bhid=25569377241726038196109731189473