Nauja „Windows zero-day“ atskleidžia NTLM kredencialus, gauna neoficialų pataisą


Buvo aptiktas naujas nulinės dienos pažeidžiamumas, leidžiantis užpuolikams užfiksuoti NTLM kredencialus tiesiog apgaudinėjantis taikinį, kad jis peržiūrėtų kenkėjišką failą „Windows Explorer“.

Trūką aptiko „0patch“ komanda – platforma, teikianti neoficialų palaikymą nebenaudojamų „Windows“ versijų, ir apie tai pranešta „Microsoft“. Tačiau oficialus pataisymas dar nebuvo išleistas.

Pagal 0patch, problema, kuri šiuo metu neturi CVE ID, turi įtakos visoms „Windows“ versijoms nuo „Windows 7“ ir „Server 2008 R2“ iki naujausių „Windows 11 24H2“ ir „Server 2022“.

Išnaudojimas be paspaudimų

0patch nepateikė techninių detalių apie nulinės dienos pažeidžiamumą, kol „Microsoft“ nepateiks oficialaus pataisymo, kad būtų išvengta aktyvaus išnaudojimo laukinėje gamtoje.

Tyrėjai paaiškino, kad ataka veikia tiesiog peržiūrint specialiai sukurtą kenkėjišką failą „File Explorer“, todėl failo atidaryti nereikia.

„Pažeidžiamumas leidžia užpuolikui gauti () vartotojo NTLM kredencialus, tiesiog leidžiant vartotojui peržiūrėti kenkėjišką failą „Windows Explorer“, pvz., atidarant bendrinamą aplanką arba USB diską su tokiu failu arba peržiūrint aplanką Atsisiuntimai, kur toks failas buvo. anksčiau automatiškai atsisiųstas iš užpuoliko tinklalapio“, – aiškina 0patch.

Nors 0Patch neskelbia daugiau informacijos apie pažeidžiamumą, „BleepingcComputer“ supranta, kad ji priverčia išeinantį NTLM ryšį su nuotoliniu bendrinimu. Dėl to „Windows“ automatiškai siunčia prisijungusio vartotojo NTLM maišą, kurią užpuolikas gali pavogti.

Kaip ne kartą buvo parodyta, šios maišos gali būti nulaužtos, todėl grėsmės veikėjai gali gauti prieigą prie prisijungimo vardų ir paprasto teksto slaptažodžių. „Microsoft“ prieš metus paskelbė apie savo planus ateityje panaikinti NTLM autentifikavimo protokolą „Windows 11“.

0patch pažymi, kad tai jau trečias nulinės dienos pažeidžiamumas, apie kurį jie neseniai pranešė Microsoft ir kurio pardavėjas nesiėmė skubių veiksmų.

Kiti du yra „Windows Server 2012“ tinklo (MotW) apėjimas, apie kurį buvo pranešta praėjusio mėnesio pabaigoje, ir „Windows Themes“ pažeidžiamumas, leidžiantis nuotoliniu būdu pavogti NTLM kredencialus, atskleistas spalio pabaigoje. Abi problemos lieka neišspręstos.

0patch teigia, kad kiti NTLM maišos atskleidimo trūkumai, kurie buvo atskleisti praeityje, pvz., PetitPotam, PrinterBug/SpoolSample ir DFSCoerce, lieka be oficialaus pataisymo naujausiose Windows versijose, todėl vartotojams lieka tik 0 pataisos pateiktos mikropataisos.

„Micropatch“ prieinamumas

„0patch“ nemokamai pateiks savo naujausios nulinės dienos mikropataisą visiems savo platformoje užsiregistravusiems vartotojams, kol pasirodys oficialus „Microsoft“ pataisymas.

PRO ir Enterprise paskyros jau automatiškai gavo saugos mikropataisą, nebent jų konfigūracija tai aiškiai neleidžia.

Norėdami gauti pataisą, susikurkite nemokamą paskyrą 0patch Central, pradėkite nemokamą bandomąją versiją, tada įdiekite agentą ir leiskite jai automatiškai pritaikyti atitinkamas mikropataisas. Perkrauti nereikia.

Vartotojai, kurie nenori taikyti neoficialaus pataiso, kurį teikia 0patch, gali apsvarstyti galimybę išjungti NTLM autentifikavimą naudodami grupės strategiją, esančią skiltyje „Saugos nustatymai > Vietinė politika > Saugos parinktys“, ir sukonfigūruoti politiką „Tinklo sauga: apriboti NTLM“. Tą patį galima pasiekti atliekant registro pakeitimus.

„BleepingComputer“ susisiekė su „Microsoft“ ir teiravosi apie trūkumą ir planus jį pašalinti, tačiau vis dar laukiame atsakymo.



Source link

Draugai: - Marketingo agentūra - Teisinės konsultacijos - Skaidrių skenavimas - Klaipedos miesto naujienos - Miesto naujienos - Saulius Narbutas - Įvaizdžio kūrimas - Veidoskaita - Teniso treniruotės - Pranešimai spaudai - Kauno naujienos - Regionų naujienos - Palangos naujienos