Naujos „Windows“ temos „zeroday“ gauna nemokamus neoficialius pataisymus


Dabar yra nemokamos neoficialios pataisos, skirtos naujam „Windows Themes“ nulinės dienos pažeidžiamumui, leidžiančiam užpuolikams pavogti taikinio NTLM kredencialus nuotoliniu būdu.

NTLM buvo plačiai išnaudojamas NTLM perdavimo atakose, kai grėsmės veikėjai verčia pažeidžiamus tinklo įrenginius autentifikuoti savo valdomus serverius, ir maišos atakose, kai jie išnaudoja sistemos pažeidžiamumą arba diegia kenkėjišką programinę įrangą, kad gautų NTLM maišą (kurios yra maišomos). slaptažodžiai) iš tikslinių sistemų.

Gavę maišą, užpuolikai gali autentifikuotis kaip pažeistas vartotojas, gauti prieigą prie neskelbtinų duomenų ir skleisti į šoną dabar pažeistame tinkle. Prieš metus „Microsoft“ paskelbė, kad ateityje planuoja panaikinti NTLM autentifikavimo protokolą „Windows 11“.

Apeiti neužbaigtą saugos pataisą

ACROS Security tyrėjai atrado naująją „Windows“ temų nulinę dieną (kuriai dar nebuvo priskirtas CVE ID), kurdami mikropataisą, skirtą saugos problemai, pažymėtai CVE-2024-38030, kuri gali nutekėti vartotojo kredencialai (rasta ir apie tai pranešė „Akamai's Tomer“). Peled), apeiti kitą Windows temų klaidinimo pažeidžiamumą (CVE-2024-21320), kurį Microsoft pataisė sausio mėn.

„Užpuolikas turėtų įtikinti vartotoją įkelti kenkėjišką failą į pažeidžiamą sistemą, paprastai pasitelkdamas viliojimą el. pašto arba momentinių pranešimų programos žinutėje, o tada įtikinti vartotoją manipuliuoti specialiai sukurtu failu, bet nebūtinai spustelėti arba atidarykite kenkėjišką failą“, kaip „Microsoft“ paaiškina CVE-2024-21320 patarime.

Nors „Microsoft“ liepos mėn. pataisė CVE-2024-38030, ACROS Security nustatė kitą problemą, kurią užpuolikai galėjo išnaudoti, kad pavogtų taikinio NTLM kredencialus visose visiškai atnaujintose „Windows“ versijose – nuo ​​„Windows 7“ iki „Windows 11 24H2“.

„Analizuodami problemą, mūsų saugos tyrinėtojai nusprendė šiek tiek apsižvalgyti ir rado papildomą tos pačios problemos atvejį, kuris vis dar buvo visose visiškai atnaujintose „Windows“ versijose iki šiuo metu naujausios „Windows 11 24H2“, – ACROS Security generalinis direktorius Mitja. Kolsekas pasakė.

„Taigi, užuot tiesiog pataisę CVE-2024-38030, sukūrėme bendresnį Windows temų failų pataisą, kuris apimtų visus vykdymo kelius, vedančius į Windows siunčiant tinklo užklausą į nuotolinį pagrindinį kompiuterį, nurodytą temos faile, kai tik peržiūrime failą. “

Kolsekas pasidalijo demonstracine vaizdo medžiaga (įterpta žemiau), kurioje parodyta, kaip kenkėjiško „Windows“ temos failo kopijavimas visiškai pataisytoje „Windows 11 24H2“ sistemoje (kairėje pusėje) suaktyvina tinklo ryšį su užpuoliko įrenginiu, atskleidžiant prisijungusio vartotojo NTLM kredencialus.

https://www.youtube.com/watch?v=dIoU4GAk4eM

Galimi nemokami ir neoficialūs mikropatsai

Dabar bendrovė teikia nemokamus ir neoficialius šios nulinės dienos klaidos saugos pataisymus naudodama 0 patch mikropataisų paslaugą visoms paveiktoms „Windows“ versijoms, kol „Microsoft“ gaus oficialius pataisymus, kurie jau buvo pritaikyti visose internetinėse „Windows“ sistemose, kuriose veikia bendrovės „0patch“ agentas.

„Kadangi tai yra „0 dienų“ pažeidžiamumas, kuriame nėra oficialaus tiekėjo pataisymo, mes teikiame savo mikropataisas nemokamai, kol toks pataisymas bus prieinamas“, – sakė Kolsekas.

Norėdami įdiegti „micropatch“ savo „Windows“ įrenginyje, sukurkite „0patch“ paskyrą ir įdiekite „0patch“ agentą. Kai agentas bus paleistas, mikropataisymas bus pritaikytas automatiškai, nereikalaujant sistemos paleidimo iš naujo, jei nėra tinkintos pataisų politikos, kuri ją blokuotų.

Tačiau svarbu pažymėti, kad šiuo atveju „0patch“ teikia tik „Windows Workstation“ mikropataisymus, nes „Windows“ temos neveikia „Windows Server“, kol neįdiegta „Desktop Experience“ funkcija.

„Be to, kad kredencialai nutekėtų serveryje, neužtenka vien peržiūrėti temos failą „Windows Explorer“ arba darbalaukyje; veikiau temos failą reikia spustelėti du kartus ir pritaikyti temą“, – pridūrė Kolsekas.

Nors „Microsoft“ pasakė „BleepingComputer“, kad jie „žino apie šią ataskaitą ir imsis reikiamų veiksmų, kad klientai būtų apsaugoti“, kai buvo paklausta apie pataisymo laiką, Microsoft saugumo reagavimo centras pasakė Kolsek, kad jie „visiškai ketina ištaisyti šią problemą kuo greičiau. kiek įmanoma“.

„Windows“ naudotojai, norintys 0patch mikropataisų alternatyvos, kol nebus prieinami oficialūs pataisymai, taip pat gali taikyti „Microsoft“ pateiktas mažinimo priemones, įskaitant grupės strategijos, kuri blokuoja NTLM maišą, taikymą, kaip nurodyta CVE-2024-21320 patarime.



Source link

Draugai: - Marketingo agentūra - Teisinės konsultacijos - Skaidrių skenavimas - Klaipedos miesto naujienos - Miesto naujienos - Saulius Narbutas - Įvaizdžio kūrimas - Veidoskaita - Teniso treniruotės - Pranešimai spaudai - Kauno naujienos - Regionų naujienos - Palangos naujienos