Уязвимость нулевого дня в Windows позволяет перехватить учетные данные NTLM, а для ее эксплуатации достаточно обманом вынудить пользователя просмотреть вредоносный файл через Windows Explorer. Официального исправления для этой проблемы пока нет.
Свежая уязвимость, которой еще не присвоен идентификатор CVE, была обнаружена специалистами компании 0patch. Напомним, что 0patch – это платформа, предназначенная как раз для таких ситуаций, то есть исправления 0-day и других непропатченных уязвимостей, для поддержки продуктов, которые уже не поддерживаются самими производителями, обновлений кастомного софта и так далее.
По данным 0patch, новая проблема затрагивает все версии Windows, начиная с Windows 7 и Server 2008 R2 и заканчивая новейшими Windows 11 24H2 и Server 2022.
Специалисты не раскрывают технические детали бага, пока Microsoft не выпустит официальное исправление (чтобы не допустить массовой эксплуатации уязвимости злоумышленниками). Однако исследователи объяснили, что для проведения атаки достаточно заставить пользователя просмотреть специально подготовленный вредоносный файл через File Explorer («Проводник»). То есть даже открывать файл не требуется.
«Уязвимость позволяет злоумышленнику получить учетные данные NTLM, просто вынудив пользователя просмотреть вредоносный файл в "Проводнике" Windows. Например, открыв общую папку или USB-диск с файлом, или просмотрев папку “Загрузки”, куда файл автоматически загрузился с веб-страницы злоумышленника», — объясняют эксперты.
Судя по всему, уязвимость вынуждает ОС установить исходящее NTLM-соединение с удаленным ресурсом, и в итоге Windows автоматически передает NTLM-хэши залогиненного пользователя, которые злоумышленники могут похитить.
В 0patch отмечают, что это уже третья уязвимость нулевого дня, о которой они сообщили Microsoft за последнее время, однако производитель пока предпринял попыток для ее устранения. Два другие 0-day бага — это обход Mark of the Web (MotW) в Windows Server 2012, о котором стало известно в конце ноября, а также уязвимость в Windows Themes, позволяющая удаленно похитить учетные данные NTLM, раскрытая в октябре. Обе эти проблемы тоже по-прежнему не исправлены.
0patch сообщает, что традиционно подготовила бесплатный микропатч для свежей 0-day, который будет доступен всем пользователям платформы, пока Microsoft не выпустит официальное исправление. Для получения неофициального патча достаточно создать бесплатную учетную запись на 0patch Central и запустить бесплатную пробную версию продукта.
Тем временем, в Microsoft сообщили, что уже изучают предоставленную специалистами информацию и готовы предпринять меры, «необходимые для защиты пользователей».