Новый 0-Day в Windows раскрывает учетные данные NTLM и получает неофициальное исправление

Обнаружена новая уязвимость нулевого дня, позволяющая злоумышленникам перехватить учетные данные NTLM, просто обманом заставив цель просмотреть вредоносный файл в проводнике Windows.

Дефект был обнаружен командой 0patch, платформой, обеспечивающей неофициальную поддержку устаревших версий Windows, и о нем сообщили в Microsoft.

По данным 0patch, проблема, которая на данный момент не имеет CVE ID, затрагивает все версии Windows, начиная с Windows 7 и Server 2008 R2 и заканчивая последними Windows 11 24H2 и Server 2022.

Бескликабельный эксплойт

0patch не разглашает технические подробности уязвимости нулевого дня до тех пор, пока Microsoft не предоставит официальное исправление, чтобы предотвратить активную эксплуатацию в сети.

Исследователи объяснили, что атака происходит путем простого просмотра специально созданного вредоносного файла в File Explorer, поэтому открытие файла не требуется.

"Уязвимость позволяет злоумышленнику получить NTLM-учетные данные пользователя, просто заставив его просмотреть вредоносный файл в Windows Explorer - напр, открыв общую папку или USB-диск с таким файлом, или просмотрев папку "Загрузки", где этот файл был ранее автоматически загружен с веб-страницы злоумышленника", - поясняет 0patch.

Хотя 0Patch не сообщает дальнейших подробностей об уязвимости, BleepingComputer предполагает, что она вынуждает установить исходящее NTLM-соединение с удаленным ресурсом. Это заставляет Windows автоматически отправлять NTLM-хэши для вошедшего в систему пользователя, которые злоумышленник может украсть.

Как уже неоднократно демонстрировалось, эти хэши могут быть взломаны, что позволяет угрозам получить доступ к именам пользователей и паролям в открытом виде. Год назад Microsoft объявила о своих планах отказаться от протокола аутентификации NTLM в Windows 11 в будущем.

0patch отмечает, что это уже третья уязвимость нулевого дня, о которой они недавно сообщили Microsoft, но производитель не предпринял немедленных действий по ее устранению.

Две другие - это обход Mark of the Web (MotW) в Windows Server 2012, о котором стало известно в конце прошлого месяца, и уязвимость Windows Themes, позволяющая удаленно похитить учетные данные NTLM, раскрытая в конце октября. Обе проблемы остаются неисправленными.

0patch утверждает, что другие уязвимости NTLM, раскрытые в прошлом, такие как PetitPotam, PrinterBug/SpoolSample и DFSCoerce, все остаются без официального исправления в последних версиях Windows, оставляя пользователям только микропатчи, предоставленные 0patch.

06.12.2024
https://www.bleepingcomputer.com/ne...poses-ntlm-credentials-gets-unofficial-patch/​