В системах Windows обнаружена новая уязвимость нулевого дня, которая позволяет злоумышленникам перехватывать учетные данные NTLM, просто обманывая жертву, заставляя ее просматривать вредоносный файл в Проводнике Windows.
Уязвимость была обнаружена командой 0patch, платформой, которая предоставляет неофициальную поддержку для версий Windows с истекшим сроком эксплуатации. Microsoft проинформирована о проблеме, но официальное исправление пока не выпущено.
Согласно 0patch, проблема, которая в настоящее время пока не получила идентификатор CVE, затрагивает все версии Windows — от Windows 7 и Windows Server 2008 R2 до последних сборок Windows 11, версия 24H2 и Windows Server 2022.
Если вы задаётесь вопросом, почему Windows Server 2025 отсутствует в списке, сооснователь 0patch Митя Колсек объясняет, что команда все ещё проводит тестирование этой версии, так как ей меньше месяца. Кроме того, в ней присутствуют улучшения, связанные с NTLM, и другие изменения. Колсек пишет:
Windows Server 2025 была выпущена только в ноябре и все ещё проходит тестирование совместимости. Мы начнем выпускать исправления нулевого дня для неё после завершения тестирования (и при удовлетворительных результатах).
Эксплойт, не требующий открытия файла
0patch скрыл технические подробности уязвимости нулевого дня, пока Microsoft не предоставит официальное исправление, чтобы предотвратить активную эксплуатацию в реальных атаках.
Исследователи пояснили, что атака работает путем простого просмотра специально созданного вредоносного файла в Проводнике. При этом открывать файл не требуется.
0patch поясняет:
Эта уязвимость позволяет злоумышленнику получить учетные данные NTLM жертвы, просто заставив пользователя просмотреть вредоносный файл в Проводнике Windows, например, открыв общую папку или USB-диск с таким файлом или просмотрев папку «Загрузки», куда такой файл был ранее автоматически загружен с веб-страницы злоумышленника.
Хотя 0Patch не делится дополнительными подробностями об уязвимости, вероятно, эксплойт принудительно устанавливает исходящее NTLM-подключение к удаленному общему ресурсу. Это заставляет Windows автоматически отправлять хэши NTLM для вошедшего в систему пользователя, которые затем может украсть злоумышленник.
Как неоднократно демонстрировалось, эти хэши можно взломать, что позволяет злоумышленникам получить доступ к логинам и паролям в открытом текстовом виде. Год назад Microsoft объявила о своих планах прекратить поддержку протокола аутентификации NTLM в Windows 11 в будущем.
0patch отмечает, что это уже третья уязвимость нулевого дня, о которой они недавно сообщили Microsoft, и Редмонд не предпринял немедленных действий для ее устранения.
Другие две — обход Mark of the Web (MotW) в Windows Server 2012, о котором стало известно в конце прошлого месяца, и уязвимость тем Windows, позволяющая выполнять удаленную кражу учетных данных NTLM, раскрытая в конце октября. Обе проблемы остаются неисправленными.
0patch сообщает, что другие уязвимости раскрытия хэша NTLM, раскрытые в прошлом, такие как PetitPotam, PrinterBug/SpoolSample и DFSCoerce, остаются без официального исправления в последних версиях Windows. Однако, пользователям доступны микропатчи от 0patch.
Неофициальные патчи от 0patch
0patch будет предоставлять свой микропатч для последней обнаруженной им уязвимости нулевого дня бесплатно всем пользователям, зарегистрированным на своей платформе, пока официальное исправление от Microsoft не станет доступным.
Учетные записи PRO и Enterprise уже получили микропатч безопасности автоматически, если их конфигурация явно не запрещает это.
Чтобы получить исправление, создайте бесплатную учетную запись на 0patch Central, запустите бесплатную пробную версию, а затем установите агент и разрешите ему автоматически применить соответствующие микропатчи. Перезагрузка системы не требуется.
Пользователи, которые не хотят применять неофициальное исправление, предоставленное 0patch, могут рассмотреть возможность отключения проверки подлинности NTLM с помощью групповой политики в разделе Политики безопасности > Локальные политики > Параметры безопасности и настройки политик Сетевая безопасность: ограничения NTLM. Того же результата можно добиться с помощью изменений в реестре.
Последние статьи #Microsoft
• Как включить индикатор процента заряда батареи на панели задач в Windows 11
• Обновление KB5050083 (Build 26120.2992) для Windows 11, версия 24H2 (Dev): Новые возможности для Copilot+ ПК
• Обновление KB5050092 (Build 22631.4825) Preview для Windows 11, версия 23H2
• Обновление KB5050081 (Build 19045.5435) Preview для Windows 10, версия 22H2
• Обновление KB5050085 (Build 22635.4800) для Windows 11, версия 23H2 (Beta)
• Релиз Flyby11 1.0 — установка Windows 11 на несовместимое оборудование