Windows-Designs gefährden weiterhin die Benutzeranmeldeinformationen

Es wurde festgestellt, dass einige Windows-Themen eine Schwachstelle enthalten, die eine Kompromittierung ermöglicht NTLM-Bezeichner Benutzer. Diese Sicherheitslücke, die auch nach einigen Korrekturen weiterhin besteht, kann ausgenutzt werden, indem einfach eine Designdatei im angezeigt wirdDatei-ExplorerDies führt dazu, dass Authentifizierungsinformationen unbefugt an Remote-Hosts gesendet werden. Trotz der Bemühungen von Microsoft, dieses Problem zu beheben, treten immer wieder neue Schwachstellen auf, was Entwickler von Drittanbieterlösungen wie 0patch dazu veranlasst, inoffizielle Patches zu veröffentlichen, um die Systeme der Benutzer zu schützen.

Seit Jahren sind Windows-Systeme durch eine wiederkehrende Sicherheitslücke durch die Verwendung benutzerdefinierter Designs betroffen. Diese Themen können möglicherweise offengelegt werden NTLM-Bezeichner Benutzer durch Ausnutzung bestimmter Netzwerkkonfigurationen. Trotz der Bemühungen von Microsoft, dieses Problem zu beheben, treten immer wieder neue Schwachstellen auf. Dieses Phänomen wurde kürzlich vom 0patch-Team ans Licht gebracht, das die Führung bei der Bereitstellung inoffizieller Patches zum Schutz der Benutzer übernahm.

In Windows-Designs entdeckte Sicherheitslücke

Im Jahr 2023 entdeckte der Sicherheitsforscher Tomer Peled von Akamai, dass einige Windows-Themen könnte eine Netzwerkfunktion ausnutzen, um unbeabsichtigt die NTLM-Anmeldeinformationen von Benutzern zu senden. Durch die Angabe eines Netzwerkpfads in bestimmten Designeigenschaften initiiert Windows automatisch Netzwerkanfragen mit den Anmeldeinformationen des Benutzers, indem einfach die Designdatei im Datei-Explorer angezeigt wird.

Diese Sicherheitslücke wird im Code identifiziert CVE-2024-21320, wurde nach Meldung durch Microsoft korrigiert. Die Forscher haben jedoch auch ein damit zusammenhängendes Problem identifiziert, das weiterhin dazu führt, dass NTLM-Anmeldeinformationen über bösartige Designdateien offengelegt werden.

0patch greift mit einem Fix ein

Konfrontiert mit Neuigkeiten Zero-Day-Leck, entdeckt während der Entwicklung eines Mikropatches für einen bekannten Fehler im Code CVE-2024-380300patch hat eine Reihe inoffizieller Korrekturen entwickelt, um diese Lücke zu schließen. Mitja Kolsek, CEO von ACROS Security, demonstrierte in einem Video, wie eine bösartige Theme-Datei auf einem aktualisierten Windows 11 eine Netzwerkverbindung herstellen und Benutzeranmeldeinformationen preisgeben kann.

Die von ACROS Security zur Verfügung gestellten kostenlosen Mikropatches ermöglichen vorübergehenden Schutz, während darauf gewartet wird, dass Microsoft eine offizielle Lösung für die neu entdeckte Schwachstelle veröffentlicht.

Verständnis des NTLM-Protokolls und des Pass-the-Hash-Angriffs

Das Protokoll NTLM (NT LAN Manager) wird zur Authentifizierung in Windows-Systemen verwendet und war vor der Einführung von vorherrschend Kerberos. Anstatt Passwörter im Klartext zu senden, verwendet NTLM einen Hash der Passwörter, den sogenannten NTLM-Hash.

Dieser Mechanismus ist zwar nützlich, aber anfällig für Angriffe Pass-the-Hash. Dies bedeutet, dass Angreifer diesen Hash verwenden können, um sich bei einem System zu authentifizieren, ohne das Passwort tatsächlich zu kennen, wodurch die Sicherung von Netzwerken mithilfe von NTLM von entscheidender Bedeutung ist.

Vergleich von Risiken und Lösungen von Windows-Designs