fbpx

A Windows Zero-Day sérülékenysége lehetővé teszi a hackerek számára, hogy ellopják az NTLM hitelesítő adatait

Egy újonnan felfedezett Zero-Day – nulladik napi – sebezhetőség lehetővé teszi a támadók számára, hogy ellopják az NTLM hitelesítő adatait egyszerűen azáltal, hogy ráveszik a felhasználókat, hogy megtekintsenek egy rosszindulatú fájlt a Windows Intézőben. A 0patch csapat által azonosított hiba az összes Windows-verziót érinti a Windows 7-től és a Server 2008 R2-től a Windows 11 24H2-ig és a Server 2022-ig.

A sebezhetőség áttekintése

A biztonsági rés lehetővé teszi a támadók számára, hogy kihasználják az NTLM-hitelesítés Windows általi kezelését. A felhasználóknak csak egy rosszindulatú fájlt kell megtekinteniük a File Explorerben – nincs szükség megnyitásra vagy végrehajtásra. A támadás indítható egy megosztott mappához, USB-meghajtóhoz vagy a fájlt tartalmazó Letöltések mappához való hozzáféréssel.

Ha aktiválódik, a kihasználás egy kimenő NTLM-kapcsolatot kényszerít egy távoli helyre, aminek következtében a Windows NTLM-kivonatokat küld a bejelentkezett felhasználóról. Ezeket a kivonatokat feltörhetik, felfedve a bejelentkezési hitelesítő adatokat és az egyszerű szöveges jelszavakat. A Microsoft korábban bejelentette, hogy a Windows 11 jövőbeli frissítései során fokozatosan megszünteti az NTLM-t, de még nem foglalkozott ezzel a problémával.

(Az alapértelmezett NTLM-hitelesítés a hívó alkalmazáshoz társított Microsoft Windows felhasználói hitelesítő adatokat használja a kiszolgálóval való hitelesítés megkísérléséhez. Ha nem alapértelmezett NTLM-hitelesítést használ, az alkalmazás NTLM-nek állítja be a hitelesítési típust, és egy NetworkCredential objektum használatával adja át a felhasználónevet, a jelszót és a tartományt a gazdagépnek.)

Hivatalos válasz hiánya

A sérülékenység, amelyet a 0patch jelentett a Microsoftnak, hivatalos CVE-megjelölés vagy javítás nélkül marad. Ez a harmadik nulladik napi hiba, amelyet a 0patch feltárt, és amelyet a Microsoft még nem orvosolt, a „Mark of the Web” megkerülése és az év elején nyilvánosságra hozott Windows Themes biztonsági rése mellett. Az NTLM-hez kapcsolódó hasonló problémák, mint például a PetitPotam és a PrinterBug, szintén nem javítottak a legújabb Windows-verziókban.

Ideiglenes megoldás: ingyenes nem hivatalos javítás

A kockázat csökkentése érdekében a 0patch ingyenes mikrojavítást kínál erre a biztonsági résre. A javítás a 0patch platform minden regisztrált felhasználója számára elérhető, amíg a Microsoft ki nem ad egy hivatalos javítást. A PRO és Enterprise fióktulajdonosok automatikusan megkapják a javítást, hacsak rendszerkonfigurációjuk nem akadályozza meg.

Alternatív enyhítés

Azok a felhasználók, akik inkább nem telepítik a nem hivatalos javítást, csökkenthetik a kockázatot az NTLM hitelesítés letiltásával:

A Csoportházirend segítségével lépjen a Biztonsági beállítások > Helyi házirendek > Biztonsági beállítások menüpontra, és konfigurálja a „Hálózati biztonság: NTLM korlátozása” lehetőséget.
Alternatív megoldásként módosítsa a megfelelő beállításjegyzék-beállításokat, hogy ugyanazt az eredményt érje el.

Ezekkel a lépésekkel a felhasználók megvédhetik magukat az esetleges kizsákmányolástól, amíg a hivatalos javításra várnak.

Az oldal tartalma nem másolható!