Новая уязвимость нулевого дня в Windows позволяет удаленным злоумышленникам похищать NTLM-учетные данные, заставляя жертв просто просматривать вредоносные файлы в Проводнике Windows. Доступно неофициальное исправление против данной проблемы безопасности.
Протокол NTLM уже давно используется в атаках типа NTLM-реле (когда злоумышленники принуждают уязвимые сетевые устройства аутентифицироваться на подконтрольных им серверах) и в атаках «pass-the-hash» (где хэши NTLM, представляющие собой зашифрованные пароли, похищаются и затем используются для входа в систему).
После похищения хэша злоумышленники могут аутентифицироваться под именем взломанного пользователя, получая доступ к конфиденциальным данным. В прошлом году Microsoft объявила о планах отказаться от аутентификации NTLM в будущих версиях Windows 11.
Исследователи ACROS Security обнаружили новую уязвимость раскрытия NTLM-хэшей через SCF-файлы во время разработки исправлений для другой аналогичной проблемы. Данный эксплойт еще не получил идентификатор CVE. Он затрагивает все версии Windows — от Windows 7 до последних выпусков Windows 11, а также серверные версии от Windows Server 2008 R2 до Server 2025.
Генеральный директор ACROS Security Митя Колсек (Mitja Kolsek), сообщил:
Эта уязвимость позволяет злоумышленнику получить учетные данные NTLM жертвы, заставив пользователя просмотреть вредоносный файл в проводнике Windows — например, открыв общую папку или USB-диск с таким файлом или просмотрев папку «Загрузки», куда файл был ранее автоматически загружен с веб-страницы злоумышленника
Обратите внимание, что хотя эти типы уязвимостей не являются критическими, а способность их эксплуатации зависит от нескольких факторов, было обнаружено, что они используются в реальных атаках.
Доступны микропатчи от 0patch
Компания ACROS Security выпустила бесплатные неофициальные патчи для устранения этой уязвимости через сервис 0Patch, предлагая временное решение до выхода официального исправления от Microsoft.
Колсек добавил:
Мы сообщили об этой проблеме Microsoft и, как обычно, выпустили микропатчи, которые останутся бесплатными до выхода официального исправления.
Подробности уязвимости мы пока не раскрываем, чтобы минимизировать риск ее эксплуатации злоумышленниками.
Чтобы установить микропатч на ПК с Windows, создайте учетную запись и установите агент 0patch. После запуска агент автоматически применит микропатч, не требуя перезагрузки системы.
Скачать 0patch Agent для Windows
Представитель Microsoft сообщил, что компании известно об отчете и уже принимаются все необходимые меры для защиты клиентов.
За последние месяцы 0patch сообщил о трех других уязвимостях нулевого дня, включая ошибку темы Windows (исправлено как CVE-2025-21308), обход Mark of the Web на Server 2012 (все еще уязвимость нулевого дня без официального исправления) и уязвимость раскрытия хэша URL-файла NTLM (исправлено как CVE-2025-21377).
0patch также выявил другие уязвимости раскрытия хэша NTLM в прошлом, такие как PetitPotam, PrinterBug/SpoolSample и DFSCoerce, которые еще не получили исправления.
Последние статьи #Microsoft
• Microsoft выпустила Recall, функцию Click to Do и умный поиск на основе ИИ для Copilot+ ПК – доступно в KB5055627 для Windows 11, версия 24H2
• Microsoft устраняет баг с перегрузкой процессора при наборе писем в Outlook
• Обновление KB5055632 (Build 26200.5570) для Windows 11, версия 24H2 (Dev)
• Обновление KB5055634 (Build 26120.3941) для Windows 11, версия 24H2 (Beta)
• Обновление KB5055627 (Build 26100.3915) Preview для Windows 11, версия 24H2
• Обновление KB5055636 (Build 22635.5305) для Windows 11, версия 23H2 (Beta)