Имате Windows? Паролите ви могат да бъдат откраднати дори без кликвания
Microsoft поправи приключването на хешовете през иконите – и го отвори през изпълнимите файлове
Изследователи от Cymulate Research Labs оповестиха за нова накърнимост при Windows, която разрешава заобикаляне на последната корекция на Microsoft и още веднъж води до приключване на NTLM хешове без никакво деяние от страна на потребителя. Проблемът е получил идентификатор CVE-2025-50154 и на процедура обезсилва отбраната, която бе пусната напролет за затваряне на друга накърнимост (CVE-2025-24054).
NTLM (New Technology LAN Manager) е семейство протоколи за засвидетелствуване на Microsoft, употребявани за инспекция на пълномощията и обезпечаване отбраната на мрежовите връзки. Въпреки отбраната на NTLMv2 против остарелите способи, като да вземем за пример дъговите таблици, прихванатите хешове към момента могат да се употребяват за офанзиви: те могат да бъдат тествани офлайн или да се употребяват при така наречен релейни офанзиви, когато откраднатият хеш се изпраща на друга услуга за вход под прикритието на жертвата. Ако атакуваният акаунт има високи привилегии, нападателят може бързо да получи цялостен надзор над цялата мрежа.
Откритата по-рано накърнимост позволяваше посредством особено основан директен път да се принуди системата автоматизирано да изпрати NTLM хеша при достъп до далечен файл с иконка. Microsoft пусна актуализация, която блокира този сюжет. Нови проби обаче демонстрираха, че кръпката е непълна: в случай че директният път се обръща към далечен осъществим файл и иконката е взета от общоприетата библиотека на Windows, системата към момента автоматизирано зарежда двоичния файл и разкрива NTLM хеша. И всичко това се случва без никакви кликвания и дейности от страна на потребителя – задоволително е Explorer да се опита да покаже иконката.
Въпреки че каченият файл не се започва незабавно, самият факт, че се появява на компютъра, основава трамплин за бъдеща офанзива. Един подобен двоичен файл може да остане неусетен от антивирусните и други системи за отбрана за дълго време, а по-късно да бъде употребен за кражба на данни, инсталиране на злотворен програмен продукт или разпространяване по мрежата.
Всъщност откривателите са съумели да покажат, че „ кръпката “ на Microsoft е затворила единствено част от казуса. Новият бъг още веднъж отваря вратата за приключване на идентификационни данни и маркиране на евентуално рисковите файлове в устройствата. Microsoft към този момент призна уязвимостта и приготвя актуализация, която би трябвало да я в профил дефинитивно.
Експертите означават, че този случай илюстрира за какво е значимо да се организират самостоятелни проби и да се ползва многопластова отбрана даже след стартирането на формалните пачове. Понякога единствено кръпките не са задоволителни за цялостното елиминиране на рисковете. Необходими са спомагателни старания за запазване сигурността на рожбата на софтуерния колос.
