Нова 0day уязвимост в ОС Windows: изтичане на данни чрез темите за оформление
Самото проявление на злотворен файл в Explorer към този момент е задоволително за реализиране на офанзива.
Изследователи откриха нова накърнимост, обвързвана с тематиките на Windows, която дава опция на хакерите отдалечено да откраднат идентификационните данни на NTLM. Уязвимостта е настояща за всички версии на Windows, от 7 до 11, макар оповестените по-рано актуализации за сигурност.
Използването на NTLM от дълго време се употребява при релейните офанзиви, при които хакерите принуждават уязвими устройства да се свързват с подчинени сървъри, получавайки достъп до чувствителни данни. Microsoft към този момент разгласи желанието си да се откаже от NTLM в бъдещите версии на Windows 11.
Изследовател от ACROS Security разпознава новата накърнимост, до момента в който създава микропач за известния бъг CVE-2024-38030, който визира и тематиките за оформление и е разказан по-рано от откривател на Akamai. Уязвимостта водеше до приключване на данни при ревизиране на мрежовите пътища в настройките на тематиката, като да вземем за пример тапет или изображение на марката.
Новооткритата накърнимост от вида „ нулев ден “ се оказа много подла: съгласно изпълнителния шеф на ACROS Security Митя Колшек самото проявление на злоумишлен файл във Windows Explorer е задоволително, с цел да се трансферират автоматизирано потребителските данни, даже без да се започва файлът или да се ползва непосредствено тематиката.
Демонстрация на офанзивата върху най-новата към сегашен ден версия на Windows 11 24H2 можете да видите във видеото по-долу:
Като краткотрайно решение ACROS Security предлага да се конфигурира фирменото приложение-услуга 0patch, с цел да може да се употребява тази своепбразна и неофициална кръпка на сигурността. Дали да направи това, или не, всеки консуматор взема решение самичък. Така или другояче, Microsoft към този момент удостовери казуса и разгласи, че скоро ще бъде пусната актуализация.
Докато чакат формалния пач, потребителите могат да подхващат защитните ограничения, препоръчани от Microsoft, като да вземем за пример да блокират потреблението на NTLM хешове благодарение на груповата политика, както е разказано в рекомендациите за CVE-2024-21320.
Според Колшек новата накърнимост не визира Windows Server в общоприетата настройка, защото там не се употребяват тематики за оформление без инсталиране на спомагателния съставен елемент Desktop Experience. Въпреки това приключването на данни към момента е допустимо на сървърите, въпреки че това става, когато тематиката се ползва непосредствено, а не когато се преглежда в Explorer.
