Af Eskil Sørensen, 10/12/24
Så er Microsoft kommet på banen med en vejledning til organisationer om, hvordan man som standard afbøder NTLM-relæangreb, som må forventes at være under opsejling efter at researchere har rapporteret om den NTLM-hash 0-dagssårbarhed i alle versioner af Windows Workstation og Server, fra Windows 7 til nuværende Windows 11-versioner.
I går var meldingen ifølge Bleeping Computer, at researchere ved 0patch havde fundet sårbarheden og rapporteret den til Microsoft, der i første omgang ikke havde noget svar tilbage.
Det har Microsoft nu, melder Dark Reading, der i sin omtale at sagen dels siger, at researchere fra ACROS Security har fundet fejlen, dels bemærker, at det ikke står klart om vejledningens udgivelse er relateret til fejlen eller om det er rent tilfældigt. Under alle omstændigheder forventes fejlen, som stadig har hverken en CVE- eller CVSS-score, ikke at blive rettet i de kommende måneder.
Uanset om researcherne bag fundet kommer fra 0patch eller ACROS, så er den alvorlig nok, idet den gør det muligt for en angriber at få fat i en brugers NTLM-legitimationsoplysninger blot ved at få brugeren til at se en ondsindet fil via filhåndteringsværktøjet.
Microsoft beskriver ifølge Dark Reading fejlen som en "populær angrebsmetode, der bruges af trusselsaktører, og som muliggør kompromittering af identitet." Vejledningen fortæller, at risikoen for udnyttelse kan mitigeres ved at aktivere Extended Protection for Authentication (EPA) på LDAP, AD CS og Exchange Server. Den seneste Windows Server 2025 leveres med EPA aktiveret som standard for både AD CS og LDAP.
Alternativt anbefaler ACROS, at man anvender 0patchs gratis mikropatches.
Links:
https://www.darkreading.com/application-security/microsoft-ntlm-zero-day...
https://cert.dk/da/news/2024-12-09/0patch-Windows-0-dag-afsloerer-NTLM-l...