Feltételezett orosz hackerek kihasználtak egy nemrég javított Windows sebezhetőséget (zero-day), hogy ukrán szervezeteket célzó folyamatos támadásokat hajtsanak végre.
A biztonsági rés (CVE-2024-43451) egy NTLM Hash Disclosure típusú sebezhetőség, amelyet a ClearSky biztonsági kutatói jelentettek. Ez lehetővé teszi a bejelentkezett felhasználó NTLMv2 hashének ellopását azáltal, hogy kapcsolatot kényszerít egy támadók által irányított távoli szerverhez.
A ClearSky júniusban fedezte fel ezt a kampányt, miután olyan adathalász e-maileket figyelt meg, amelyek a sebezhetőség kihasználására irányultak. Ezek az e-mailek olyan hivatkozásokat tartalmaztak, amelyek egy internetes parancsikon fájlt töltöttek le egy korábban kompromittált szerverről (osvita-kp.gov[.]ua), amely a Kamjanec-Pogyilszkij városi tanács Oktatási és Tudományos Osztályához tartozott.
„Amikor a felhasználó interakcióba lép az URL fájllal, például jobb gombbal kattint, törli vagy áthelyezi, a sebezhetőség aktiválódik” – magyarázta a ClearSky.
Ekkor kapcsolat jön létre egy távoli szerverrel, amely rosszindulatú programokat tölt le, például a SparkRAT nevű, nyílt forráskódú és többplatformos távoli hozzáférési eszközt. Ez lehetővé teszi a támadók számára a kompromittált rendszerek távoli vezérlését.
A ClearSky a vizsgálat során egy olyan kísérletre is figyelmeztetett, amely az NTLM hash ellopására irányult a Server Message Block (SMB) protokoll segítségével. Ezeket a jelszó-hash-eket “pass-the-hash” támadásokhoz használhatják, vagy feltörhetik őket a felhasználó eredeti jelszavának megszerzésére.
A ClearSky megosztotta ezeket az információkat Ukrajna Számítógépes Vészhelyzeti Reagálási Csapatával (CERT-UA), amely azonosította a támadások mögött álló, vélhetően orosz fenyegetési csoportot, amelyet UAC-0194 néven követnek.
A Microsoft a 2024. novemberi Patch Tuesday keretében javította a sebezhetőséget, és megerősítette a ClearSky megállapításait, mondván, hogy a sikeres kihasználáshoz felhasználói interakció szükséges.
„Ez a sebezhetőség a felhasználó NTLMv2 hashét fedi fel a támadó számára, aki ezt felhasználva a felhasználóként hitelesítheti magát” – magyarázta a Microsoft tanácsadója.
„A rosszindulatú fájllal végzett minimális felhasználói interakció, például egyetlen kattintás, jobb kattintás vagy bármilyen más művelet – az elindításon kívül – aktiválhatja ezt a sebezhetőséget.”
A vállalat szerint a CVE-2024-43451 az összes támogatott Windows-verziót érinti, beleértve a Windows 10-et és az újabb verziókat, valamint a Windows Server 2008-at és az annál újabbakat.
Az amerikai Kiberbiztonsági és Infrastruktúra Védelmi Ügynökség (CISA) kedden szintén felvette a sebezhetőséget az ismert kihasznált sebezhetőségek katalógusába, és elrendelte az érintett rendszerek biztonságba helyezését december 3-ig, a 22-01-es Működési Irányelv előírása alapján.
„Az ilyen típusú sebezhetőségek gyakori támadási vektorok a rosszindulatú kibertevékenységet folytatók számára, és jelentős kockázatot jelentenek a szövetségi vállalatokra nézve” – figyelmeztetett a kiberbiztonsági ügynökség.