Уязвимость нулевого дня в Windows, включая Windows 11 24H2, раскрывает учетные данные NTLM

Переводчик Google

В системах Windows обнаружена новая уязвимость нулевого дня, которая позволяет злоумышленникам перехватывать учетные данные NTLM, просто обманывая жертву, заставляя ее просматривать вредоносный файл в Проводнике Windows.

Уязвимость была обнаружена командой 0patch, платформой, которая предоставляет неофициальную поддержку для версий Windows с истекшим сроком эксплуатации. Microsoft проинформирована о проблеме, но официальное исправление пока не выпущено.

Согласно 0patch, проблема, которая в настоящее время пока не получила идентификатор CVE, затрагивает все версии Windows — от Windows 7 и Windows Server 2008 R2 до последних сборок Windows 11, версия 24H2 и Windows Server 2022.

Vuln_7844_NO_CVE_URLFileNTLM_1024x512.png


Если вы задаётесь вопросом, почему Windows Server 2025 отсутствует в списке, сооснователь 0patch Митя Колсек объясняет, что команда все ещё проводит тестирование этой версии, так как ей меньше месяца. Кроме того, в ней присутствуют улучшения, связанные с NTLM, и другие изменения. Колсек пишет:

Windows Server 2025 была выпущена только в ноябре и все ещё проходит тестирование совместимости. Мы начнем выпускать исправления нулевого дня для неё после завершения тестирования (и при удовлетворительных результатах).

Эксплойт, не требующий открытия файла​

0patch скрыл технические подробности уязвимости нулевого дня, пока Microsoft не предоставит официальное исправление, чтобы предотвратить активную эксплуатацию в реальных атаках.

Исследователи пояснили, что атака работает путем простого просмотра специально созданного вредоносного файла в Проводнике. При этом открывать файл не требуется.

0patch поясняет:

Эта уязвимость позволяет злоумышленнику получить учетные данные NTLM жертвы, просто заставив пользователя просмотреть вредоносный файл в Проводнике Windows, например, открыв общую папку или USB-диск с таким файлом или просмотрев папку «Загрузки», куда такой файл был ранее автоматически загружен с веб-страницы злоумышленника.
Хотя 0Patch не делится дополнительными подробностями об уязвимости, вероятно, эксплойт принудительно устанавливает исходящее NTLM-подключение к удаленному общему ресурсу. Это заставляет Windows автоматически отправлять хэши NTLM для вошедшего в систему пользователя, которые затем может украсть злоумышленник.

Как неоднократно демонстрировалось, эти хэши можно взломать, что позволяет злоумышленникам получить доступ к логинам и паролям в открытом текстовом виде. Год назад Microsoft объявила о своих планах прекратить поддержку протокола аутентификации NTLM в Windows 11 в будущем.

0patch отмечает, что это уже третья уязвимость нулевого дня, о которой они недавно сообщили Microsoft, и Редмонд не предпринял немедленных действий для ее устранения.

Другие две — обход Mark of the Web (MotW) в Windows Server 2012, о котором стало известно в конце прошлого месяца, и уязвимость тем Windows, позволяющая выполнять удаленную кражу учетных данных NTLM, раскрытая в конце октября. Обе проблемы остаются неисправленными.

0patch сообщает, что другие уязвимости раскрытия хэша NTLM, раскрытые в прошлом, такие как PetitPotam, PrinterBug/SpoolSample и DFSCoerce, остаются без официального исправления в последних версиях Windows. Однако, пользователям доступны микропатчи от 0patch.



Неофициальные патчи от 0patch​

0patch будет предоставлять свой микропатч для последней обнаруженной им уязвимости нулевого дня бесплатно всем пользователям, зарегистрированным на своей платформе, пока официальное исправление от Microsoft не станет доступным.

Учетные записи PRO и Enterprise уже получили микропатч безопасности автоматически, если их конфигурация явно не запрещает это.

Чтобы получить исправление, создайте бесплатную учетную запись на 0patch Central, запустите бесплатную пробную версию, а затем установите агент и разрешите ему автоматически применить соответствующие микропатчи. Перезагрузка системы не требуется.

Пользователи, которые не хотят применять неофициальное исправление, предоставленное 0patch, могут рассмотреть возможность отключения проверки подлинности NTLM с помощью групповой политики в разделе Политики безопасности > Локальные политики > Параметры безопасности и настройки политик Сетевая безопасность: ограничения NTLM. Того же результата можно добиться с помощью изменений в реестре.
 
Назад
Сверху Снизу