Δωρεάν ανεπίσημες ενημερώσεις κώδικα είναι τώρα διαθέσιμες για μια νέα ευπάθεια μηδενικής ημέρας των Windows Themes που επιτρέπει στους εισβολείς να κλέψουν τα διαπιστευτήρια NTLM ενός στόχου εξ αποστάσεως.
Το NTLM έχει χρησιμοποιηθεί εκτενώς σε επιθέσεις αναμετάδοσης NTLM, όπου παράγοντες απειλών αναγκάζουν ευάλωτες συσκευές δικτύου να ελέγχουν ταυτότητα έναντι διακομιστών υπό τον έλεγχό τους και επιθέσεις pass-the-hash, όπου εκμεταλλεύονται ευπάθειες συστήματος ή αναπτύσσουν κακόβουλο λογισμικό για να αποκτήσουν κατακερματισμούς NTLM (τα οποία κατακερματίζονται κωδικούς πρόσβασης) από στοχευμένα συστήματα.
Μόλις αποκτήσουν τον κατακερματισμό, οι εισβολείς μπορούν να πιστοποιήσουν την ταυτότητα του χρήστη που έχει παραβιαστεί, αποκτώντας πρόσβαση σε ευαίσθητα δεδομένα και διαδίδοντας πλευρικά στο πλέον παραβιασμένο δίκτυο. Πριν από ένα χρόνο, η Microsoft ανακοίνωσε ότι σχεδιάζει να καταργήσει το πρωτόκολλο ελέγχου ταυτότητας NTLM στα Windows 11 στο μέλλον.
Παράκαμψη για μη ολοκληρωμένη ενημέρωση κώδικα ασφαλείας
Οι ερευνητές του ACROS Security ανακάλυψαν τα νέα θέματα των Windows zero-day (στα οποία δεν έχει ακόμη εκχωρηθεί ένα αναγνωριστικό CVE) ενώ ανέπτυξαν μια micropatch για ένα ζήτημα ασφαλείας που παρακολουθείται ως CVE-2024-38030 που θα μπορούσε να διαρρεύσει τα διαπιστευτήρια ενός χρήστη (που βρέθηκαν και αναφέρθηκαν από τον Tomer Peled του Akamai), το ίδιο αποτελεί παράκαμψη για μια άλλη ευπάθεια πλαστογράφησης των Windows Themes (CVE-2024-21320) διορθώθηκε από τη Microsoft τον Ιανουάριο.
“Ένας εισβολέας θα πρέπει να πείσει τον χρήστη να φορτώσει ένα κακόβουλο αρχείο σε ένα ευάλωτο σύστημα, συνήθως μέσω ενός δελεασμού σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου ή Instant Messenger, και στη συνέχεια να πείσει τον χρήστη να χειριστεί το ειδικά δημιουργημένο αρχείο, αλλά όχι απαραίτητα να κάνει κλικ ή ανοίξτε το κακόβουλο αρχείο”, όπως εξηγεί η Microsoft στη συμβουλευτική CVE-2024-21320.
Παρόλο που η Microsoft έχει επιδιορθώσει το CVE-2024-38030 τον Ιούλιο, το ACROS Security διαπίστωσε ένα άλλο ζήτημα που θα μπορούσαν να εκμεταλλευτούν οι εισβολείς για να κλέψουν τα διαπιστευτήρια NTLM ενός στόχου σε όλες τις πλήρως ενημερωμένες εκδόσεις των Windows, από τα Windows 7 έως τα Windows 11 24H2.
“Κατά την ανάλυση του προβλήματος, οι ερευνητές ασφαλείας μας αποφάσισαν να ψάξουν λίγο και βρήκαν μια πρόσθετη περίπτωση του ίδιου προβλήματος που εξακολουθούσε να υπάρχει σε όλες τις πλήρως ενημερωμένες εκδόσεις των Windows, μέχρι τις πιο πρόσφατες εκδόσεις των Windows 11 24H2”, δήλωσε ο CEO της ACROS Security Mitja Κόλσεκ είπε.
“Επομένως, αντί να διορθώσουμε απλώς το CVE-2024-38030, δημιουργήσαμε μια πιο γενική ενημέρωση κώδικα για αρχεία θεμάτων των Windows που θα κάλυπτε όλες τις διαδρομές εκτέλεσης που οδηγούν στα Windows να στέλνουν ένα αίτημα δικτύου σε έναν απομακρυσμένο κεντρικό υπολογιστή που καθορίζεται σε ένα αρχείο θέματος κατά την απλή προβολή του αρχείου. “
Ο Kolsek μοιράστηκε μια επίδειξη βίντεο (ενσωματωμένη παρακάτω), που δείχνει πώς η αντιγραφή ενός κακόβουλου αρχείου θέματος των Windows σε ένα πλήρως επιδιορθωμένο σύστημα Windows 11 24H2 (στην αριστερή πλευρά) ενεργοποιεί μια σύνδεση δικτύου με τον υπολογιστή ενός εισβολέα, αποκαλύπτοντας τα διαπιστευτήρια NTLM του συνδεδεμένου χρήστη.
Διατίθενται δωρεάν και ανεπίσημα micropatches
Η εταιρεία παρέχει πλέον δωρεάν και ανεπίσημες ενημερώσεις κώδικα ασφαλείας για αυτό το σφάλμα μηδενικής ημέρας Υπηρεσία micropatching 0patch για όλες τις εκδόσεις των Windows που επηρεάζονται μέχρι να διατεθούν επίσημες διορθώσεις από τη Microsoft, οι οποίες έχουν ήδη εφαρμοστεί σε όλα τα ηλεκτρονικά συστήματα Windows που εκτελούν τον πράκτορα 0patch της εταιρείας.
“Δεδομένου ότι πρόκειται για μια ευπάθεια “0day” χωρίς επίσημη ενημέρωση από τον προμηθευτή, παρέχουμε τις μικροεπιδιορθώσεις μας δωρεάν έως ότου γίνει διαθέσιμη μια τέτοια επιδιόρθωση”, δήλωσε ο Kolsek.
Για να εγκαταστήσετε το micropatch στη συσκευή σας Windows, δημιουργήστε έναν λογαριασμό 0patch και εγκαταστήστε το 0patch agent. Μόλις εκκινηθεί ο παράγοντας, το micropatch θα εφαρμοστεί αυτόματα χωρίς να απαιτείται επανεκκίνηση του συστήματος, εάν δεν υπάρχει πολιτική προσαρμοσμένης ενημέρωσης κώδικα για τον αποκλεισμό του.
Ωστόσο, είναι σημαντικό να σημειωθεί ότι, σε αυτήν την περίπτωση, το 0patch παρέχει μικροεπιδιορθώσεις μόνο για το σταθμό εργασίας των Windows, επειδή τα θέματα των Windows δεν λειτουργούν στον Windows Server μέχρι να εγκατασταθεί η δυνατότητα Desktop Experience.
“Επιπλέον, για να προκύψει διαρροή διαπιστευτηρίων σε έναν διακομιστή, δεν αρκεί απλώς να προβάλετε ένα αρχείο θέματος στην Εξερεύνηση των Windows ή στην επιφάνεια εργασίας, αλλά πρέπει να κάνετε διπλό κλικ στο αρχείο θέματος και έτσι να εφαρμοστεί το θέμα”, πρόσθεσε ο Kolsek.
Ενώ η Microsoft είπε στο BleepingComputer ότι “γνωρίζουν αυτήν την αναφορά και θα λάβουν μέτρα όπως απαιτείται για να βοηθήσουν τους πελάτες να προστατεύονται” όταν ρωτήθηκε για το χρονοδιάγραμμα για μια ενημέρωση κώδικα, το Κέντρο απόκρισης ασφαλείας της Microsoft είπε στον Kolsek ότι “σκοπεύουν πλήρως να επιδιορθώσουν αυτό το ζήτημα το συντομότερο όσο το δυνατόν».
Οι χρήστες των Windows που θέλουν μια εναλλακτική λύση για τις μικροεπιδιορθώσεις του 0patch μέχρι να είναι διαθέσιμες οι επίσημες ενημερώσεις κώδικα, μπορούν επίσης να εφαρμόσουν μέτρα μετριασμού που παρέχονται από τη Microsoft, συμπεριλαμβανομένης της εφαρμογής μιας πολιτικής ομάδας που αποκλείει τους κατακερματισμούς NTLM όπως περιγράφεται στην Συμβουλευτική CVE-2024-21320.
VIA: bleepingcomputer.com