Motywy systemu Windows w dalszym ciągu naruszają poświadczenia użytkownika
Odkryto, że niektórzy Motywy Windowsa zawierają lukę umożliwiającą złamanie zabezpieczeń Identyfikatory NTLM użytkownicy. Tę lukę w zabezpieczeniach, która utrzymuje się nawet po wprowadzeniu kilku poprawek, można wykorzystać po prostu wyświetlając plik motywu w folderzeEksplorator plików, powodując nieautoryzowane wysyłanie informacji uwierzytelniających do zdalnych hostów. Pomimo wysiłków Microsoftu zmierzających do rozwiązania tego problemu, wciąż pojawiają się nowe luki w zabezpieczeniach, co skłania twórców rozwiązań innych firm, takich jak 0patch, do wydawania nieoficjalnych łatek w celu ochrony systemów użytkowników.
Od lat w systemach Windows występuje powtarzająca się luka wynikająca z zastosowania niestandardowych motywów. Te tematy mogą potencjalnie ujawnić Identyfikatory NTLM użytkowników, wykorzystując określone konfiguracje sieci. Pomimo wysiłków Microsoftu mających na celu rozwiązanie tego problemu, wciąż pojawiają się nowe luki. Zjawisko to zostało niedawno ujawnione przez zespół 0patch, który przejął inicjatywę w dostarczaniu nieoficjalnych poprawek chroniących użytkowników.
Sommaire
W motywach systemu Windows wykryto lukę
W 2023 roku badacz bezpieczeństwa Tomer Peled z Akamai odkrył, że niektóre Motywy Windowsa może wykorzystać funkcję sieciową do niezamierzonego wysyłania danych uwierzytelniających NTLM użytkowników. Określając ścieżkę sieciową we właściwościach motywu, system Windows automatycznie inicjuje żądania sieciowe przy użyciu poświadczeń użytkownika, po prostu przeglądając plik motywu w Eksploratorze plików.
Ta luka jest zidentyfikowana pod kodem CVE-2024-21320, został poprawiony po zgłoszeniu przez firmę Microsoft. Jednak badacze zidentyfikowali również powiązany problem, który w dalszym ciągu ujawnia dane uwierzytelniające NTLM za pośrednictwem złośliwych plików motywów.
0patch wkracza z poprawką
W obliczu nowości wyciek dnia zerowego, wykryty podczas opracowywania mikrołatki dla znanej wady kodu CVE-2024-380300patch opracował szereg nieoficjalnych poprawek, aby wypełnić tę lukę. Mitja Kolsek, dyrektor generalny ACROS Security, zademonstrował w filmie, w jaki sposób złośliwy plik motywu w zaktualizowanym systemie Windows 11 może nawiązać połączenie sieciowe i ujawnić dane uwierzytelniające użytkownika.
Bezpłatne mikrołatki udostępniane przez ACROS Security umożliwiają tymczasową ochronę w oczekiwaniu na opublikowanie przez Microsoft oficjalnego rozwiązania wykrytej nowej luki.
Zrozumienie protokołu NTLM i ataku typu pass-the-hash
Protokół NTLM (NT LAN Manager) służy do uwierzytelniania w systemach Windows i był dominujący przed przyjęciem Kerberos. Zamiast wysyłać hasła w postaci jawnej, NTLM używa skrótu haseł, znanego jako Skrót NTLM.
Mechanizm ten, choć przydatny, jest podatny na ataki przekaż hash. Oznacza to, że osoby atakujące mogą użyć tego skrótu do uwierzytelnienia w systemie bez znajomości hasła, co sprawia, że zabezpieczenie sieci przy użyciu protokołu NTLM ma kluczowe znaczenie.
Porównanie zagrożeń i rozwiązań motywów systemu Windows
| Oś porównania | Opis |
| Wykrywanie podatności | W 2023 r. autorstwa Tomera Peleda z Akamai |
| Główny problem | Automatyczna transmisja identyfikatorów NTLM |
| Mechanizm ataku | Używanie ścieżek sieciowych w motywach |
| Uderzenie | Ryzyko zdalnej kradzieży danych uwierzytelniających |
| Rola tematów | Ujawnienie informacji o użytkowniku |
| Stare problemy | Podobne problemy w 2020 r |
| Odpowiedź Microsoftu | Zaktualizowano z oficjalną poprawką |
| Rozwiązanie pośrednie | Mikropatch autorstwa 0patch |
| Technologia obronna | Korzystanie z Kerberos zalecony |
| Powiązany atak | Wyczyn przekaż hash |
Comments
Leave a comment