Curiosidades De Hackers
CSIRTDFIRForense Digital

Análisis forense de la explotación de CVE-2024-21320: abuso de Windows Themes para captura de NTLM, acceso remoto y persistencia


Comprendiendo la vulnerabilidad

La vulnerabilidad CVE-2024-21320 afecta al mecanismo de Microsoft Windows Themes.

Un atacante puede crear un archivo .theme malicioso que referencia recursos remotos alojados en un servidor SMB controlado por el atacante.

Cuando la víctima abre el archivo o simplemente cuando Windows Explorer genera automáticamente la miniatura del archivo, el sistema intenta cargar esos recursos remotos.

Durante este proceso se inicia una autenticación SMB automática, lo que provoca que el sistema envíe credenciales NTLM al servidor remoto del atacante.

Esto permite al adversario:

  • capturar hashes NTLM
  • realizar ataques NTLM Relay
  • crackear contraseñas offline
  • autenticarse posteriormente en el sistema víctima

Inicio de la investigación

Durante el triage inicial se identificaron dos elementos relevantes en el escritorio del sistema analizado:

  • ChallengeFile (artefactos recolectados mediante KAPE)
  • ntlm.pcapng (captura de red)

Dado que existe una captura de red, el primer paso es analizar el tráfico utilizando Wireshark.

1. Análisis de tráfico de red

Se abre el archivo:

y se aplica el filtro para tráfico SMB:

El análisis muestra múltiples intentos del sistema víctima de conectarse a un recurso compartido remoto.

En los paquetes se observa un intento de conexión hacia el recurso:

Este recurso corresponde al servidor SMB controlado por el atacante utilizado para capturar credenciales NTLM.

Ruta del recurso SMB del atacante

2. Identificación del usuario comprometido

El siguiente paso consiste en analizar el proceso de autenticación NTLM.

Para ello se utiliza el filtro:

Los paquetes NTLMSSP_AUTH muestran que el sistema víctima intentó autenticarse con el usuario:

Durante el análisis se observan tres intentos de autenticación, lo que indica que el sistema intentó establecer la conexión varias veces hacia el servidor SMB del atacante.

3. Obtención del NTLM Server Challenge

Para el primer intento de autenticación se analiza el paquete 122.

Siguiendo la estructura del paquete:

Se identifica el valor:

Este valor corresponde al NTLM Server Challenge, utilizado para calcular la respuesta de autenticación del cliente.

4. Obtención del NTProofStr

El siguiente paquete contiene la respuesta generada por el cliente.

Dentro de la estructura NTLMv2 Response se identifica el campo:

Valor:

Este valor corresponde al HMAC-MD5 del challenge NTLM y puede ser utilizado por el atacante para intentar crackear la contraseña offline.

5. Detección de acceso remoto posterior

Un día después de la explotación, el equipo de seguridad detectó actividad sospechosa relacionada con conexiones remotas.

Para investigarlo se revisaron los logs ubicados en:

El log relevante es:

6. Identificación del acceso RDP exitoso

Filtrando por Event ID 1149 se identifica un intento exitoso de conexión mediante Remote Desktop Protocol (RDP).

Al inspeccionar los detalles del evento:

Se obtiene la siguiente información:

Esto confirma que el atacante consiguió acceder al sistema mediante RDP tras obtener las credenciales.

7. Identificación del archivo utilizado en la explotación

Dado que la vulnerabilidad se explota mediante archivos .theme, se analizó el sistema de archivos utilizando MFTECmd, herramienta forense de Eric Zimmerman.

Comando ejecutado:

El análisis procesó:

8. Análisis de línea temporal

El archivo CSV generado se analizó con Timeline Explorer.

Filtrando por extensión .theme, se identifica el archivo sospechoso:

Este archivo corresponde al archivo malicioso utilizado para explotar la vulnerabilidad.

9. Identificación de herramientas del atacante

Durante el análisis del MFT también se identificaron scripts de PowerShell.

Filtrando por .ps1 se identifica:

PowerView es una herramienta ampliamente utilizada en fases de post-explotación para:

  • enumeración de Active Directory
  • reconocimiento de dominio
  • preparación de movimiento lateral

10. Persistencia mediante cuenta backdoor

Para identificar acciones posteriores se revisaron los logs de PowerShell:

Filtrando por Event ID 4104 (ScriptBlock Logging) se identifica el comando ejecutado:

Este comando añadió un nuevo usuario al grupo de administradores.

Credenciales de la cuenta backdoor

Esto proporciona al atacante persistencia administrativa en el sistema comprometido.

Línea temporal del ataque

HoraEvento
Día 1Usuario descarga archivo .theme malicioso
Día 1Sistema intenta acceder al servidor SMB del atacante
Día 1Credenciales NTLM filtradas
Día 2Contraseña crackeada por el atacante
Día 2Acceso remoto mediante RDP
Día 2Descarga de PowerView
Día 2Creación de cuenta administrativa backdoor

Conclusión

El análisis forense permitió reconstruir completamente una intrusión iniciada mediante la explotación de CVE-2024-21320.

Hallazgos clave:

Archivo utilizado en el ataque

Servidor SMB del atacante

Cuenta comprometida

Acceso remoto

Herramienta utilizada por el atacante

Persistencia creada

Este caso demuestra cómo los atacantes pueden aprovechar funcionalidades legítimas del sistema operativo para robar credenciales sin necesidad de desplegar malware complejo.

La correlación de múltiples fuentes de evidencia —incluyendo capturas de red, logs de Windows y artefactos del sistema de archivos NTFS— permitió reconstruir con precisión toda la actividad del atacante.


Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *