Análisis forense de la explotación de CVE-2024-21320: abuso de Windows Themes para captura de NTLM, acceso remoto y persistencia
Comprendiendo la vulnerabilidad
La vulnerabilidad CVE-2024-21320 afecta al mecanismo de Microsoft Windows Themes.
Un atacante puede crear un archivo .theme malicioso que referencia recursos remotos alojados en un servidor SMB controlado por el atacante.
Cuando la víctima abre el archivo o simplemente cuando Windows Explorer genera automáticamente la miniatura del archivo, el sistema intenta cargar esos recursos remotos.
Durante este proceso se inicia una autenticación SMB automática, lo que provoca que el sistema envíe credenciales NTLM al servidor remoto del atacante.
Esto permite al adversario:
- capturar hashes NTLM
- realizar ataques NTLM Relay
- crackear contraseñas offline
- autenticarse posteriormente en el sistema víctima
Inicio de la investigación
Durante el triage inicial se identificaron dos elementos relevantes en el escritorio del sistema analizado:
- ChallengeFile (artefactos recolectados mediante KAPE)
- ntlm.pcapng (captura de red)

Dado que existe una captura de red, el primer paso es analizar el tráfico utilizando Wireshark.
1. Análisis de tráfico de red
Se abre el archivo:
ntlm.pcapng
y se aplica el filtro para tráfico SMB:
smb2

El análisis muestra múltiples intentos del sistema víctima de conectarse a un recurso compartido remoto.

En los paquetes se observa un intento de conexión hacia el recurso:
\\DESKTOP-887GK2L\smb12
Este recurso corresponde al servidor SMB controlado por el atacante utilizado para capturar credenciales NTLM.
Ruta del recurso SMB del atacante
\\DESKTOP-887GK2L\smb12
2. Identificación del usuario comprometido
El siguiente paso consiste en analizar el proceso de autenticación NTLM.
Para ello se utiliza el filtro:
ntlmssp

Los paquetes NTLMSSP_AUTH muestran que el sistema víctima intentó autenticarse con el usuario:
DESKTOP-ND6FH5D\LetsDefend
Durante el análisis se observan tres intentos de autenticación, lo que indica que el sistema intentó establecer la conexión varias veces hacia el servidor SMB del atacante.
3. Obtención del NTLM Server Challenge
Para el primer intento de autenticación se analiza el paquete 122.
Siguiendo la estructura del paquete:
SMB2
Session Setup
Security Blob
GSS-API
Simple Protected Negotiation
NTLM Secure Service Provider
NTLM Server Challenge

Se identifica el valor:
7b28fde95a265713
Este valor corresponde al NTLM Server Challenge, utilizado para calcular la respuesta de autenticación del cliente.
4. Obtención del NTProofStr
El siguiente paquete contiene la respuesta generada por el cliente.

Dentro de la estructura NTLMv2 Response se identifica el campo:
NTProofStr
Valor:
2731f9c2ac40d2f1aa3c1797ff0f026e
Este valor corresponde al HMAC-MD5 del challenge NTLM y puede ser utilizado por el atacante para intentar crackear la contraseña offline.
5. Detección de acceso remoto posterior
Un día después de la explotación, el equipo de seguridad detectó actividad sospechosa relacionada con conexiones remotas.
Para investigarlo se revisaron los logs ubicados en:
C:\Windows\System32\winevt\Logs

El log relevante es:
Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx
6. Identificación del acceso RDP exitoso
Filtrando por Event ID 1149 se identifica un intento exitoso de conexión mediante Remote Desktop Protocol (RDP).

Al inspeccionar los detalles del evento:

Se obtiene la siguiente información:
Usuario: letsdefend
IP origen: 172.17.79.132
Fecha: 2024-03-15 03:03:44
Esto confirma que el atacante consiguió acceder al sistema mediante RDP tras obtener las credenciales.
7. Identificación del archivo utilizado en la explotación
Dado que la vulnerabilidad se explota mediante archivos .theme, se analizó el sistema de archivos utilizando MFTECmd, herramienta forense de Eric Zimmerman.

Comando ejecutado:
MFTECmd.exe -f $MFT --csv output.csv
El análisis procesó:
348,028 registros del sistema de archivos
8. Análisis de línea temporal
El archivo CSV generado se analizó con Timeline Explorer.

Filtrando por extensión .theme, se identifica el archivo sospechoso:
C:\Users\LetsDefend\Downloads\theme.theme
Este archivo corresponde al archivo malicioso utilizado para explotar la vulnerabilidad.
9. Identificación de herramientas del atacante
Durante el análisis del MFT también se identificaron scripts de PowerShell.

Filtrando por .ps1 se identifica:
PowerView.ps1
PowerView es una herramienta ampliamente utilizada en fases de post-explotación para:
- enumeración de Active Directory
- reconocimiento de dominio
- preparación de movimiento lateral
10. Persistencia mediante cuenta backdoor
Para identificar acciones posteriores se revisaron los logs de PowerShell:
Microsoft-Windows-PowerShell/Operational

Filtrando por Event ID 4104 (ScriptBlock Logging) se identifica el comando ejecutado:
net localgroup administrators SupportAgent /add
Este comando añadió un nuevo usuario al grupo de administradores.

Credenciales de la cuenta backdoor
SupportAgent : AgentPassword!
Esto proporciona al atacante persistencia administrativa en el sistema comprometido.
Línea temporal del ataque
| Hora | Evento |
|---|---|
| Día 1 | Usuario descarga archivo .theme malicioso |
| Día 1 | Sistema intenta acceder al servidor SMB del atacante |
| Día 1 | Credenciales NTLM filtradas |
| Día 2 | Contraseña crackeada por el atacante |
| Día 2 | Acceso remoto mediante RDP |
| Día 2 | Descarga de PowerView |
| Día 2 | Creación de cuenta administrativa backdoor |
Conclusión
El análisis forense permitió reconstruir completamente una intrusión iniciada mediante la explotación de CVE-2024-21320.
Hallazgos clave:
Archivo utilizado en el ataque
C:\Users\LetsDefend\Downloads\theme.theme
Servidor SMB del atacante
\\DESKTOP-887GK2L\smb12
Cuenta comprometida
DESKTOP-ND6FH5D\LetsDefend
Acceso remoto
RDP desde 172.17.79.132
Herramienta utilizada por el atacante
PowerView.ps1
Persistencia creada
SupportAgent : AgentPassword!
Este caso demuestra cómo los atacantes pueden aprovechar funcionalidades legítimas del sistema operativo para robar credenciales sin necesidad de desplegar malware complejo.
La correlación de múltiples fuentes de evidencia —incluyendo capturas de red, logs de Windows y artefactos del sistema de archivos NTFS— permitió reconstruir con precisión toda la actividad del atacante.
