Αποκάλυψη zero-day ευπάθειας στα Windows: Διαρροή διαπιστευτηρίων NTLM και ανεπίσημη ενημέρωση κώδικα

Ανακαλύφθηκε μια νέα ευπάθεια zero-day που επιτρέπει στους εισβολείς να συλλαμβάνουν διαπιστευτήρια NTLM απλά εξαπατώντας τον στόχο για να προβάλουν ένα κακόβουλο αρχείο στην Εξερεύνηση των Windows.

Το ελάττωμα ανακαλύφθηκε από την ομάδα 0patch, μια πλατφόρμα που παρέχει ανεπίσημη υποστήριξη για εκδόσεις Windows στο τέλος του κύκλου ζωής τους, και αναφέρθηκε στη Microsoft. Ωστόσο, καμία επίσημη επιδιόρθωση δεν έχει κυκλοφορήσει ακόμη.

Σύμφωνα με το 0patch, το ζήτημα, το οποίο επί του παρόντος δεν έχει αναγνωριστικό CVE, επηρεάζει όλες τις εκδόσεις των Windows από τα Windows 7 και Server 2008 R2 έως τα πιο πρόσφατα Windows 11 24H2 και Server 2022.

Μια εκμετάλλευση χωρίς κλικ

Το 0patch έχει αποκρύψει τις τεχνικές λεπτομέρειες της ευπάθειας zero-day έως ότου η Microsoft παράσχει μια επίσημη επιδιόρθωση για να αποτρέψει την τροφοδότηση της ενεργού εκμετάλλευσης στη φύση.

Οι ερευνητές εξήγησαν ότι η επίθεση λειτουργεί με την απλή προβολή ενός ειδικά δημιουργημένου κακόβουλου αρχείου στον File Explorer, επομένως το άνοιγμα του αρχείου δεν απαιτείται.

«Η ευπάθεια επιτρέπει σε έναν εισβολέα να αποκτήσει [the] τα διαπιστευτήρια NTLM του χρήστη βάζοντας απλώς τον χρήστη να δει ένα κακόβουλο αρχείο στην Εξερεύνηση των Windows – π.χ. ανοίγοντας έναν κοινόχρηστο φάκελο ή δίσκο USB με τέτοιο αρχείο ή προβάλλοντας τον φάκελο “Λήψεις” όπου αυτό το αρχείο είχε προηγουμένως ληφθεί αυτόματα από την ιστοσελίδα του εισβολέα.” εξηγεί το 0patch.

Ενώ το 0Patch δεν κοινοποιεί περισσότερες λεπτομέρειες σχετικά με την ευπάθεια, το BleepingComputer κατανοεί ότι αναγκάζει μια εξερχόμενη σύνδεση NTLM σε ένα απομακρυσμένο κοινόχρηστο στοιχείο. Αυτό αναγκάζει τα Windows να στέλνουν αυτόματα κατακερματισμούς NTLM για τον συνδεδεμένο χρήστη, τους οποίους ο εισβολέας μπορεί στη συνέχεια να κλέψει.

Όπως αποδεικνύεται επανειλημμένα, αυτοί οι κατακερματισμοί μπορούν να σπάσουν, επιτρέποντας στους παράγοντες απειλών να αποκτήσουν πρόσβαση σε ονόματα σύνδεσης και κωδικούς πρόσβασης απλού κειμένου. Η Microsoft ανακοίνωσε πριν από ένα χρόνο τα σχέδιά της να καταργήσει το πρωτόκολλο ελέγχου ταυτότητας NTLM στα Windows 11 στο μέλλον.

Το 0patch σημειώνει ότι αυτή είναι η τρίτη ευπάθεια zero-day που ανέφεραν πρόσφατα στη Microsoft και την οποία ο προμηθευτής δεν έχει λάβει άμεσα μέτρα για να αντιμετωπίσει.

Τα άλλα δύο είναι η παράκαμψη Mark of the Web (MotW) στον Windows Server 2012, που έγινε γνωστή στα τέλη του περασμένου μήνα, και μια ευπάθεια στα Windows Themes που επιτρέπει την απομακρυσμένη κλοπή διαπιστευτηρίων NTLM, που αποκαλύφθηκε στα τέλη Οκτωβρίου. Και τα δύο ζητήματα παραμένουν ανεπίλυτα.

Το 0patch λέει ότι άλλα ελαττώματα αποκάλυψης κατακερματισμού NTLM που αποκαλύφθηκαν στο παρελθόν, όπως το PetitPotam, PrinterBug/SpoolSampleκαι το DFSCoerce, παραμένουν όλα χωρίς επίσημη επιδιόρθωση στις πιο πρόσφατες εκδόσεις των Windows, αφήνοντας στους χρήστες μόνο τα micropatches που παρέχονται από το 0patch.

Διατίθεται δωρεάν micropatch

Η 0patch θα προσφέρει δωρεάν micropatch για την πιο πρόσφατη μηδενική ημέρα NTLM σε όλους τους χρήστες που είναι εγγεγραμμένοι στην πλατφόρμα της έως ότου η Microsoft παράσχει μια επίσημη ενημέρωση κώδικα.

Οι λογαριασμοί PRO και Enterprise έχουν ήδη λάβει αυτόματα το micropatch ασφαλείας, εκτός εάν η διαμόρφωσή τους το αποτρέπει ρητά.

Για να λάβετε αυτήν την ανεπίσημη ενημέρωση κώδικα, δημιουργήστε έναν δωρεάν λογαριασμό στο 0patch Centralξεκινήστε μια δωρεάν δοκιμή και, στη συνέχεια, εγκαταστήστε τον παράγοντα και αφήστε του να εφαρμόσει αυτόματα τις κατάλληλες μικροεπιδιορθώσεις. Δεν απαιτείται επανεκκίνηση.

Οι χρήστες που δεν θέλουν να εφαρμόσουν την ανεπίσημη ενημέρωση κώδικα που παρέχεται από το 0patch μπορούν να εξετάσουν το ενδεχόμενο να απενεργοποιήσουν τον έλεγχο ταυτότητας NTLM με μια Πολιτική ομάδας στις «Ρυθμίσεις ασφαλείας > Τοπικές πολιτικές > Επιλογές ασφαλείας» και να διαμορφώσουν τις πολιτικές «Ασφάλεια δικτύου: Περιορισμός NTLM». Το ίδιο μπορεί να επιτευχθεί μέσω τροποποιήσεων μητρώου.

Η BleepingComputer επικοινώνησε με τη Microsoft ρωτώντας για το ελάττωμα και τα σχέδιά της να το αντιμετωπίσει, αλλά ακόμα περιμένουμε απάντηση.