Вышли бесплатные неофициальные патчи против новой уязвимости нулевого дня в Windows Themes, позволяющей атакующим удаленно похищать учетные данные NTLM жертвы.
NTLM широко использовался в атаках типа «передача по цепочке» (NTLM relay), где злоумышленники заставляют уязвимые сетевые устройства аутентифицироваться на серверах, находящихся под их контролем, и в атаках «pass-the-hash», в которых уязвимости используются для получения NTLM-хешей (хешированные пароли) с целевых систем.
Получив хеш, атакующие могут аутентифицироваться как скомпрометированный пользователь, получая доступ к конфиденциальным данным и распространяясь по всей сети. Год назад Microsoft объявила о намерении отказаться от протокола аутентификации NTLM в будущих версиях Windows 11.
Обход неполного патча безопасности
Исследователи из ACROS Security обнаружили уязвимость нулевого дня в Windows Themes при разработке микропатча для уязвимости, отслеживаемой как CVE-2024-38030, которая сама по себе является обходом другой уязвимости Windows Themes (CVE-2024-21320), исправленной Microsoft в январе.
Исследователь Томер Пелед (Tomer Peled) из Akamai выяснил, что, когда файл темы указывает сетевой путь для некоторых свойств (например, BrandImage и Wallpaper), Windows автоматически отправляет аутентифицированные сетевые запросы на удаленные хосты, включая NTLM-учетные данные пользователя, если файл темы просматривается в Проводнике Windows.
Генеральный директор ACROS Security, Митья Колшек (Mitja Kolsek) отметил:
Это означало, что простое нахождение вредоносного файла темы в папке или на рабочем столе было достаточным, чтобы учетные данные пользователя утекли без какого-либо дополнительного действия.
Хотя Microsoft исправила CVE-2024-38030 в июле, ACROS Security обнаружила другую уязвимость, которую могут использовать атакующие для кражи NTLM-учетных данных на всех полностью обновленных версиях Windows — от Windows 7 до Windows 11, версия 24H2.
Колшек добавил:
Вместо того, чтобы исправить только CVE-2024-38030, мы создали более общий патч для файлов тем Windows, который охватывает все пути выполнения, ведущие к отправке сетевого запроса на удаленный хост, указанный в файле темы, просто при просмотре файла.
Колшек также продемонстрировал, как копирование вредоносного файла темы на полностью пропатченную машину под управлением Windows 11, версия 24H2 вызывает сетевое подключение к машине атакующего, раскрывая NTLM-учетные данные пользователя.
Бесплатные неофициальные микропатчи
Компания теперь предоставляет бесплатные неофициальные патчи безопасности для этой уязвимости через свой сервис 0patch для всех затронутых версий Windows, пока Microsoft не выпустит официальные исправления, которые уже установлены на всех системах Windows, подключенных к Интернету, с работающим агентом 0patch.
Колшек заявил:
Поскольку это уязвимость нулевого дня, для которой пока нет официального исправления, мы предоставляем наши микропатчи бесплатно до появления официального исправления.
Чтобы установить микропатч на ваше устройство Windows, создайте учетную запись 0patch и установите агент 0patch. После запуска агента микропатч будет применен автоматически без необходимости перезагрузки системы, если не настроены политики для блокировки патчей.
Однако важно отметить, что в данном случае 0patch предоставляет микропатчи только для Windows Workstation, так как Windows Themes не работает на Windows Server без установленного компонента Desktop Experience.
Колшек сообщил:
Кроме того, чтобы на сервере произошла утечка учетных данных, недостаточно просто просмотреть файл темы в Проводнике или на рабочем столе; необходимо дважды щелкнуть по файлу темы и применить его.
Microsoft заявляет, что «осведомлена о данном отчете и предпримет необходимые действия для защиты клиентов», а Microsoft Security Response Center сообщил Колшеку, что они «намерены исправить эту проблему как можно скорее».
Пользователи Windows, которые ищут альтернативу микропатчам от 0patch, могут также применить предложенные Microsoft меры снижения рисков, включая настройку групповой политики, блокирующей NTLM-хеши, как описано в бюллетене безопасности по CVE-2024-21320.
Последние статьи #Microsoft
• Microsoft уберёт смайлик и QR-код с «экрана смерти» в Windows 11
• Microsoft тестирует новый инструмент для удаленного устранения сбоев загрузки Windows 11
• Забудьте про BYPASSNRO: найден новый способ обхода требования учётной записи Microsoft и интернета для установки Windows 11
• Microsoft тестирует функцию «Быстрое восстановление машины» – удалённое исправление сбоев загрузки Windows 11
• Microsoft усложнила установку Windows 11 без Интернета — отключена команда OOBEBYPASSNRO, но обход всё ещё возможен
• Обновление KB5053658 (Build 26120.3653) для Windows 11, версия 24H2 (Beta)