Egy újonnan felfedezett Zero-Day – nulladik napi – sebezhetőség lehetővé teszi a támadók számára, hogy ellopják az NTLM hitelesítő adatait egyszerűen azáltal, hogy ráveszik a felhasználókat, hogy megtekintsenek egy rosszindulatú fájlt a Windows Intézőben. A 0patch csapat által azonosított hiba az összes Windows-verziót érinti a Windows 7-től és a Server 2008 R2-től a Windows 11 24H2-ig és a Server 2022-ig.
A sebezhetőség áttekintése
A biztonsági rés lehetővé teszi a támadók számára, hogy kihasználják az NTLM-hitelesítés Windows általi kezelését. A felhasználóknak csak egy rosszindulatú fájlt kell megtekinteniük a File Explorerben – nincs szükség megnyitásra vagy végrehajtásra. A támadás indítható egy megosztott mappához, USB-meghajtóhoz vagy a fájlt tartalmazó Letöltések mappához való hozzáféréssel.
Ha aktiválódik, a kihasználás egy kimenő NTLM-kapcsolatot kényszerít egy távoli helyre, aminek következtében a Windows NTLM-kivonatokat küld a bejelentkezett felhasználóról. Ezeket a kivonatokat feltörhetik, felfedve a bejelentkezési hitelesítő adatokat és az egyszerű szöveges jelszavakat. A Microsoft korábban bejelentette, hogy a Windows 11 jövőbeli frissítései során fokozatosan megszünteti az NTLM-t, de még nem foglalkozott ezzel a problémával.
(Az alapértelmezett NTLM-hitelesítés a hívó alkalmazáshoz társított Microsoft Windows felhasználói hitelesítő adatokat használja a kiszolgálóval való hitelesítés megkísérléséhez. Ha nem alapértelmezett NTLM-hitelesítést használ, az alkalmazás NTLM-nek állítja be a hitelesítési típust, és egy NetworkCredential objektum használatával adja át a felhasználónevet, a jelszót és a tartományt a gazdagépnek.)
Hivatalos válasz hiánya
A sérülékenység, amelyet a 0patch jelentett a Microsoftnak, hivatalos CVE-megjelölés vagy javítás nélkül marad. Ez a harmadik nulladik napi hiba, amelyet a 0patch feltárt, és amelyet a Microsoft még nem orvosolt, a „Mark of the Web” megkerülése és az év elején nyilvánosságra hozott Windows Themes biztonsági rése mellett. Az NTLM-hez kapcsolódó hasonló problémák, mint például a PetitPotam és a PrinterBug, szintén nem javítottak a legújabb Windows-verziókban.
Ideiglenes megoldás: ingyenes nem hivatalos javítás
A kockázat csökkentése érdekében a 0patch ingyenes mikrojavítást kínál erre a biztonsági résre. A javítás a 0patch platform minden regisztrált felhasználója számára elérhető, amíg a Microsoft ki nem ad egy hivatalos javítást. A PRO és Enterprise fióktulajdonosok automatikusan megkapják a javítást, hacsak rendszerkonfigurációjuk nem akadályozza meg.
Alternatív enyhítés
Azok a felhasználók, akik inkább nem telepítik a nem hivatalos javítást, csökkenthetik a kockázatot az NTLM hitelesítés letiltásával:
A Csoportházirend segítségével lépjen a Biztonsági beállítások > Helyi házirendek > Biztonsági beállítások menüpontra, és konfigurálja a „Hálózati biztonság: NTLM korlátozása” lehetőséget.
Alternatív megoldásként módosítsa a megfelelő beállításjegyzék-beállításokat, hogy ugyanazt az eredményt érje el.
Ezekkel a lépésekkel a felhasználók megvédhetik magukat az esetleges kizsákmányolástól, amíg a hivatalos javításra várnak.