Af Eskil Sørensen, 09/12/24
Der er opdaget en ny 0-dagssårbarhed i Windows, der gør det muligt for angribere at læse NTLM-legitimationsoplysninger ved blot at narre et offer til at se en ondsindet fil i Windows Stifinder.
Det skriver Bleeping Computer.
Fejlen er blevet opdaget af 0patch-teamet og er blevet rapporteret til Microsoft, der dog endnu ikke har frigivet officiel rettelse.
0patch er en platform, der giver uofficiel support til end-of-life Windows-versioner, og ifølge 0patch påvirker problemet alle Windows-versioner fra Windows 7 og Server 2008 R2 op til den seneste Windows 11 24H2 og Server 2022. Sårbarhedens alvor til trods er den ikke blevet tildelt et CVE-id.
Og på grund af alvoren har 0patch holdt de tekniske detaljer om 0-dagen tilbage, indtil Microsoft leverer en officiel løsning.
Det interessante ved sårbarheden ud fra et fagligt synspunkt, er at angrebet virker, hvis blot et offer ser den specielt udformede ondsindede fil i File Explorer. Det er ikke nødvendigt at åbne filen. Den gør det simpelthen muligt for en angriber at få brugerens NTLM-legitimationsoplysninger, hvis et offer åbner en delt mappe eller USB-disk med en sådan fil eller ser i mappen Downloads, hvor filen tidligere har været automatisk downloadet fra angriberens webside.
Bleeping Computer forsøger at give en forklaring: ”Sårbarheden tvinger en udgående NTLM-forbindelse til en ekstern share. Dette får Windows til automatisk at sende NTLM-hashes til den loggede bruger, som angriberen derefter kan stjæle.”
Disse hashes kan knækkes, og dermed får trusselsaktører mulighed for at få adgang til login-navne og klartekst-adgangskoder.
Gratis mikropatch tilgængelig
Microsoft annoncerede for et år siden sine planer om at aflive NTLM-godkendelsesprotokollen i Windows 11 i fremtiden. Men det er altså ikke sket endnu.
0patch bemærker, at dette er den tredje 0-dagssårbarhed, som teamet for nylig har rapporteret til Microsoft, og som Microsoft ikke har håndteret med det samme.
Det fremgår af Bleeping Computer, at 0patch vil tilbyde en gratis mikropatch til den seneste NTLM zero-day til alle brugere, der er registreret på 0patch-platform, indtil Microsoft leverer en officiel rettelse. For at modtage den uofficielle patch skal man oprette en gratis konto på 0patch Central, starte en gratis prøveperiode og derefter installere agenten og lade den anvende de relevante mikropatches automatisk. Ingen genstart er påkrævet.
Brugere, der ikke ønsker at anvende den uofficielle 0patch-patch, kan ifølge Bleeping Computer overveje at deaktivere NTLM-godkendelse med en gruppepolitik under 'Sikkerhedsindstillinger > Lokale politikker > Sikkerhedsindstillinger' og konfigurere "Netværkssikkerhed: Begræns NTLM"-politikkerne. Det samme kan opnås gennem registreringsændringer.
Links:
https://www.bleepingcomputer.com/news/security/new-windows-zero-day-expo...