Доступні безкоштовні неофіційні виправлення для нової вразливості нульового дня Windows Themes, яка дозволяє зловмисникам віддалено викрадати облікові дані NTLM цільової програми. Про це повідомляє BleepingComputer.
NTLM широко використовувався в ретрансляційних атаках NTLM, коли зловмисники змушують вразливі мережеві пристрої автентифікуватися на серверах, що перебувають під їхнім контролем, а також в атаках з передачі хешу, де вони використовують вразливості системи або розгортають шкідливе програмне забезпечення для отримання хешів NTLM з уражених систем.
Отримавши хеш, зловмисники можуть автентифікуватися як скомпрометований користувач, отримуючи доступ до конфіденційних даних і розповсюджуючи їх у зламаній мережі. Рік тому Microsoft оголосила, що в майбутньому планує скасувати протокол автентифікації NTLM у Windows 11.
Дослідники ACROS Security виявили у нових Windows Themes властивості zero-day (яким ще не присвоєно ідентифікатор CVE) під час розробки мікропатча для проблеми безпеки, відстежуваної як CVE-2024-38030, через яку могли витікати облікові дані користувача. Цей недолік є обходом іншої вразливості спуфінгу Windows Themes (CVE-2024-21320), виправленої корпорацією у січні.
Коли файл теми вказує шлях мережевого файлу для деяких властивостей теми (зокрема, BrandImage та Wallpaper), Windows автоматично надсилатиме автентифіковані мережеві запити на віддалені хости, включно з обліковими даними користувача NTLM, коли такий файл теми буде переглядатися у Windows.
Тобто простого перегляду файлу зловмисної теми, зазначеного в папці або розміщеного на робочому столі, буде достатньо для витоку облікових даних користувача без будь-яких додаткових дій.
Незважаючи на те, що в липні корпорація Microsoft виправила CVE-2024-38030, служба безпеки ACROS виявила ще одну проблему, якою зловмисники можуть скористатися для викрадення облікових даних NTLM цільової особи у всіх повністю оновлених версіях Windows — від Windows 7 до Windows 11 24H2.
«Замість того, щоб просто виправляти CVE-2024-38030, ми створили більш загальний патч для файлів тем Windows, який охоплює всі шляхи виконання. Вони призводять до того, що Windows надсилає мережевий запит на віддалений хост, вказаний у файлі теми, при простому перегляді файлу», — сказав генеральний директор ACROS Security Мітья Кольсек.
Кольсек також поділився демонстраційним відео (вбудованим нижче), яке показує, як копіювання шкідливого файлу теми Windows у повністю виправленій системі Windows 11 24H2 (ліворуч) запускає мережеве підключення до комп’ютера зловмисника, відкриваючи при цьому облікові дані NTLM користувача, який увійшов у систему.
Доступні безкоштовні та неофіційні мікропатчі
Зараз компанія надає безкоштовні та неофіційні виправлення безпеки для цієї помилки нульового дня через службу мікровиправлень 0patch для всіх уражених версій Windows, доки не будуть доступні офіційні виправлення від Microsoft. Їх вже застосовано на всіх онлайн-системах Windows, на яких працює агент компанії 0patch.
«Оскільки це вразливість типу 0day і немає офіційного виправлення від постачальника, ми надаємо наші мікропатчі безкоштовно, поки таке виправлення не стане доступним», — сказав Кольсек.
Щоб установити мікропатч на свій пристрій Windows, створіть обліковий запис 0patch і встановіть агент 0patch. Після запуску агента мікровиправлення буде застосовано автоматично без перезапуску системи, якщо немає спеціальної політики виправлення для його блокування.
Однак важливо зауважити, що в цьому випадку 0patch надає лише мікропатчі для Windows Workstation. Теми Windows не працюють на Windows Server, доки не буде встановлено функцію Desktop Experience.
«Для того, щоб стався витік облікових даних на сервері, недостатньо просто переглянути файл теми у Провіднику Windows або на робочому столі. Радше файл теми потрібно двічі клацнути та застосувати тему», — додав Кольсек.
Microsoft повідомила, що знає про цю проблему та має намір виправити її якнайшвидше.
Користувачі Windows, яким потрібна альтернатива мікропатчам 0patch, доки офіційні виправлення не будуть доступні, також можуть застосувати заходи пом’якшення, надані Microsoft. Зокрема застосувати групову політику, яка блокує хеші NTLM, як описано в пораді щодо CVE-2024-21320.
Читайте також на ProIT: 70% вразливостей, виявлених торік, були нульовими днями.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
