✔Уязвимость нулевого дня в Windows приводит к утечке NTLM-хешей - «Новости»
ИБ-эксперты сообщили о новой уязвимости нулевого дня в Windows, которая позволяет удаленным злоумышленникам похищать учетные данные NTLM, обманом заставляя жертв просматривать вредоносные файлы в проводнике (Windows Explorer).
NTLM широко применяется в атаках типа NTLM relay, когда хакеры вынуждают уязвимые сетевые устройства аутентифицироваться на подконтрольных им серверах, а также в атаках типа pass-the-hash, когда для кражи NTLM-хешей используются уязвимости.
После таких атак злоумышленники обычно используют украденный хеш для аутентификации от лица скомпрометированного пользователя, получая доступ к конфиденциальным данным и осуществляя боковое перемещение по сети.
По этим причинам в прошлом году компания Microsoft объявила о планах по отказу от протокола аутентификации NTLM в будущих версиях Windows 11.
На этой неделе эксперты Acros Security предупредили об обнаружении уязвимости SCF File, которая допускает утечку NTLM-хешей. Проблема была найдена во время разработки исправлений для другой уязвимости, тоже связанной с раскрытием хешей.
Новому 0-day пока не присвоен идентификатор CVE. Известно, что проблема затрагивает все версии Windows, начиная с Windows 7 и заканчивая новейшими версиями Windows 11, а также от Server 2008 R2 до Server 2025.
«Такая уязвимость позволяет злоумышленнику получить учетные данные NTLM, вынудив пользователя просмотреть вредоносный файл в проводнике Windows - например, открыв общую папку или USB-диск с таким файлом, или просмотрев папку Downloads, куда этот файл был ранее автоматически загружен с веб-страницы атакующего, — рассказывает глава Acros Security Митя Колсек (Mitja Kolsek). — Хотя подобные уязвимости не являются критическими, а их использование зависит от соблюдения ряда условий (к примеру, злоумышленник уже находится в сети жертвы или имеет внешнюю цель, например, публичный сервер Exchange, куда можно передать украденные учетные данные), они уже использовались в реальных атаках».
Более подробная информация об уязвимости пока не раскрывается, чтобы минимизировать риски возможной эксплуатации. Эксперты уже передали всю информацию разработчикам Microsoft, и инженеры компании уже работают над исправлением.
Также в компании уже подготовили неофициальные микропатчи для всех версий Windows, которыми можно воспользоваться, пока Microsoft не закроет баг официальным патчем. Бесплатные микропатчи уже доступны пользователям сервиса 0patch.
Напомним, что 0patch – это платформа Acros Security, предназначенная как раз для таких ситуаций, то есть исправления 0-day и других непропатченных уязвимостей, поддержки продуктов, которые уже не поддерживаются самими производителями, обновлений кастомного софта и так далее.
«Нам известно об отчете [об этой уязвимости], и мы примем все необходимые меры, чтобы обеспечить защиту наших клиентов», — сообщали СМИ представители Microsoft.
