Biztonsági kutatok nyilvánosságra hoztak egy frissen felfedezett sebezhetőséget, amely minden Windows szerverre és munkaállomásra szánt verziót érint a Windows 7-től a Windows 11-ig (v24H2) és a Server 2008 R2-től a Server 2022 verzióig bezárólag.
A feltárt sebezhetőség lehetővé teszi, hogy támadók megszerezzék a felhasználók NTLM hitelesítés adatait (a Microsoft által kifejlesztett hálózati protokoll), úgy, hogy ráveszik a felhasználókat egy kártékony fájl megnyitására a Windows Intézőben. A támadás futtatható egy megosztott mappa megnyitásával vagy olyan Pendrive csatlakoztatásával, ami tartalmazza a kártékony kódot.
A 0Patch kutatói már jelentették a problémát a Microsoft szakembereinek, addigis saját szolgáltatásuk keretében mikropatchet adtak ki a hiba javítására.
Az elemzők szándékosan nem hoztak nyilvánosságra további technikai részletet a sérülékenységről, hogy a lehető legkisebb lehetőség legyen a hiba kihasználásra. Azt azonban kiemelték, hogy a probléma számos Windows verziót érinthet, legyen szó régi vagy a legfrissebb kiadásokról.
Ez már a harmadik zero-day sebezhetőség, amelyet ugyanaz a kutatócsoport jelentett a korábbi hónapokban, és amik az NTLM sérülékenységének kihasználására épülnek.
A korábban feltárt sebezhetőségek a következők:
- PetitPotam amely a Microsoft Active Directory Certificate Services-t kihasználva lehetővé teszi a támadónak, hogy jogosultságokat szerezzenek a hálozaton belül.
- PrinterBug/SpoolSample hamis nyomtatási kéréseken keresztül lehetőséget biztosít az NTLM hitelesítési adatok megszerzésére.
- DFSCoerce ami a Windows Distributed File System sebezhetőségét kihasználva NTLM relay támadásokra használnak hálózati jogosultságok megszerzésére.
Az NTLM sebezhetőség miatt a Windows felhasználóknak és rendszerüzemeltetőknek kiemelt figyelmet kell fordítaniuk rendszereik sebezhetőségeire. Amíg a Microsoft dolgozik a sérülékenységek javításán, addig is érdemes mérsékelni a kockázatokat ideiglenes megoldások alkalmazásával.
Független biztonsági kutatók és cégek olyan átmeneti megoldásokat fejlesztettek ki, amelyek segítséget nyújthatnak a sebezhetőségek kihasználásának megelőzésében. Ugyanakkor fontos, hogy harmadik féltől származó megoldások használata előtt alaposan tájékozódjunk, és az elérhetővé vált hivatalos Microsoft-frissítéseket részesítsük előnyben.