Теми Windows продовжують компрометувати облікові дані користувача
Було виявлено, що деякі Теми Windows містить уразливість, яка дозволяє зламати Ідентифікатори NTLM користувачів. Цей недолік безпеки, який залишається навіть після деяких виправлень, можна використати, просто відобразивши файл теми вПровідник файлів, через що інформація автентифікації надсилається несанкціоновано на віддалені хости. Незважаючи на зусилля Microsoft щодо вирішення цієї проблеми, продовжують з’являтися нові вразливості, що спонукає розробників сторонніх рішень, таких як 0patch, випускати неофіційні виправлення для захисту систем користувачів.
Протягом багатьох років уразливість, що повторюється, впливала на системи Windows через використання спеціальних тем. Ці теми можуть потенційно викрити Ідентифікатори NTLM користувачів, використовуючи певні конфігурації мережі. Незважаючи на зусилля Microsoft вирішити цю проблему, нові вразливості продовжують з’являтися. Цей феномен нещодавно виявила команда 0patch, яка взяла на себе ініціативу в розробці неофіційних патчів для захисту користувачів.
Sommaire
У темах Windows виявлено вразливість
У 2023 році дослідник безпеки Томер Пелед з Akamai виявив, що деякі Теми Windows може використати мережеву функцію для ненавмисного надсилання облікових даних користувачів NTLM. Вказуючи мережевий шлях у певних властивостях теми, Windows автоматично ініціює мережеві запити з обліковими даними користувача, просто переглядаючи файл теми у Провіднику файлів.
Ця вразливість, визначена під кодом CVE-2024-21320, було виправлено після звіту Microsoft. Однак дослідники також виявили пов’язану проблему, яка продовжує розкривати облікові дані NTLM через шкідливі файли теми.
0patch входить із виправленням
Зіткнувшись з новинами витік нульового дня, виявлений під час розробки мікропатча для відомого недоліку під кодом CVE-2024-38030, 0patch розробив серію неофіційних виправлень, щоб усунути цю прогалину. Мітя Колсек, генеральний директор ACROS Security, продемонстрував у відео, як шкідливий файл теми в оновленій Windows 11 може встановити мережеве з’єднання та відкрити облікові дані користувача.
Безкоштовні мікропатчі, надані ACROS Security, дозволяють тимчасово захистити, поки очікується публікація корпорацією Майкрософт офіційного рішення для нової виявленої вразливості.
Розуміння протоколу NTLM і атаки передавання хешу
протокол NTLM (NT LAN Manager) використовується для автентифікації в системах Windows і був переважаючим до прийняття Kerberos. Замість того, щоб надсилати паролі в відкритому вигляді, NTLM використовує хеш паролів, відомий як Хеш NTLM.
Цей механізм, хоч і корисний, але вразливий до атак pass-the-hash. Це означає, що зловмисники можуть використовувати цей хеш для автентифікації в системі, фактично не знаючи пароля, що робить захист мереж за допомогою NTLM критичним.
Порівняння ризиків і рішень тем Windows
| Вісь порівняння | опис |
| Виявлення вразливості | У 2023 році Томер Пелед з Akamai |
| Головна проблема | Автоматична передача ідентифікаторів NTLM |
| Механізм атаки | Використання мережевих шляхів у темах |
| Вплив | Ризик дистанційної викрадення облікових даних |
| Роль тем | Оголошення інформації користувача |
| Старі випуски | Подібні проблеми у 2020 році |
| Відповідь Microsoft | Оновлено з офіційним виправленням |
| Проміжний розчин | Micropatch від 0patch |
| Оборонні технології | Використовуючи Kerberos рекомендований |
| Пов’язана атака | Feat pass-the-hash |
Comments
Leave a comment