Была обнаружена новая уязвимость типа «zero-day» в функции тем оформления Windows, которая позволяет злоумышленникам удаленно похищать учетные данные NTLM пользователей.
Этот недостаток касается всех полностью обновленных версий Windows от Windows 7 до Windows 11 24H2. Несмотря на то, что Microsoft уже в июле устранила связанную уязвимость (CVE-2024-38030), исследователи из компании ACROS Security выявили еще одну проблему, которую можно использовать в функции тем Windows.
Эта новая уязвимость проявляется, когда файл темы Windows, указывающий сетевой путь к файлу для определенных свойств, таких как BrandImage или Wallpaper, просматривается в Проводнике Windows. Это действие неожиданно заставляет систему отправлять аутентифицированные сетевые запросы на удаленные хосты, что приводит к утечке учетных данных NTLM пользователя без каких-либо дополнительных взаимодействий.
Простота атаки, при которой просмотр вредоносного файла в папке может нарушить безопасность, подчеркивает серьезность уязвимости.
В ответ на эту угрозу ACROS Security разработала бесплатные неофициальные «микропатчи», доступные через их сервис 0patch. Эти патчи предназначены для защиты пользователей до выпуска официального обновления от Microsoft. Чтобы воспользоваться этой защитой, пользователи должны создать аккаунт 0patch и установить агент 0patch на свою систему, после чего микропатч будет применен автоматически.
Microsoft осведомлена о проблеме и работает над исправлением, но до тех пор пользователи также могут применить некоторые меры по снижению риска, предложенные Microsoft, включая установку групповой политики, которая блокирует хеши NTLM, чтобы уменьшить риск утечки учетных данных.
Этот недостаток касается всех полностью обновленных версий Windows от Windows 7 до Windows 11 24H2. Несмотря на то, что Microsoft уже в июле устранила связанную уязвимость (CVE-2024-38030), исследователи из компании ACROS Security выявили еще одну проблему, которую можно использовать в функции тем Windows.
Эта новая уязвимость проявляется, когда файл темы Windows, указывающий сетевой путь к файлу для определенных свойств, таких как BrandImage или Wallpaper, просматривается в Проводнике Windows. Это действие неожиданно заставляет систему отправлять аутентифицированные сетевые запросы на удаленные хосты, что приводит к утечке учетных данных NTLM пользователя без каких-либо дополнительных взаимодействий.
Простота атаки, при которой просмотр вредоносного файла в папке может нарушить безопасность, подчеркивает серьезность уязвимости.
В ответ на эту угрозу ACROS Security разработала бесплатные неофициальные «микропатчи», доступные через их сервис 0patch. Эти патчи предназначены для защиты пользователей до выпуска официального обновления от Microsoft. Чтобы воспользоваться этой защитой, пользователи должны создать аккаунт 0patch и установить агент 0patch на свою систему, после чего микропатч будет применен автоматически.
Microsoft осведомлена о проблеме и работает над исправлением, но до тех пор пользователи также могут применить некоторые меры по снижению риска, предложенные Microsoft, включая установку групповой политики, которая блокирует хеши NTLM, чтобы уменьшить риск утечки учетных данных.
