Уязвимость нулевого дня в хэше Windows NTLM исправлена сторонней компанией

8 декабря 2024, 20:49 / Технологии → Новости / Технологии

Еще в июне 2023 года Microsoft

Microsoft Corporation (произносится «ма́йкрософт»; как правило, именуется просто Microsoft; распространено сокращение MS) — одна из крупнейших транснациональных компаний по производству проприетарного программного обеспечения для различного рода вычислительной техники — персональных компьютеров, игровых приставок, КПК, мобильных телефонов и прочего, разработчик наиболее широко распространённой на данный момент в мире программной платформы — семейства операционных систем Windows. Подразделения компании также производят семейство игровых консолей Xbox, а также аксессуары для персональных компьютеров (клавиатуры, мыши и т. д.). C 2012 года производит собственный планшетный компьютер — Surface. Википедия

официально объявила, что прекратила поддержку своего протокола аутентификации New Technology LAN Manager, который дебютировал в 1993 году с Windows NT 3.1. Она рекомендовала пользователям обновиться до Windows Negotiate, но, к сожалению, современные уязвимости TLM по-прежнему нацелены на машины от Windows 7/Server 2008 R2 до Windows 11 Version 24H2 и Server 2022, а 0Patch недавно обнаружил новую уязвимость NTLM, которая позволяет перехватывать учетные данные, просто просматривая зараженную папку, даже не требуя прямого открытия файла.

Хотя более новые версии Windows, такие как Windows 11, скорее всего, получат исправление для этой уязвимости в ближайшие недели или месяцы, более старые версии Windows, такие как Windows 7, находятся в особой опасности. Windows 10 все еще должна получить исправление, но с учетом того, что поддержка 10 должна закончиться в октябре следующего года, а для ее продления требуется платный план поддержки, риск того, что подобные проблемы останутся неисправленными в финальной версии, только увеличивается.

Этот эксплойт аутентификации NTLM нулевого дня — не единственный, который недавно обнаружил и сообщил Microsoft 0Patch — 0Patch также упоминает три уязвимости нулевого дня, не относящиеся к NTLM, и три другие уязвимости NTLM «не будут исправлены» как уязвимости, которые он исправил вместо Microsoft в своем первоначальном сообщении в блоге. Все эти исправления будут оставаться бесплатными, пока Microsoft не выпустит свои собственные исправления — чего они вообще не сделают для уязвимостей «не будут исправлены» или для версий Windows, которые больше не поддерживаются или не покрываются платным планом расширения поддержки. Мы уже рассматривали 0Patch в прошлом за предоставление альтернативы модели поддержки Microsoft, в этой заметке.

К счастью, 0Patch отмечает в комментариях к своему официальному посту, что атака, эксплуатирующая эту конкретную проблему аутентификации NTLM, еще не была замечена в дикой природе. Некоторые существующие решения безопасности могут даже автоматически блокировать эти проблемы по мере их возникновения — но нет никакой гарантии, что все или даже большинство затронутых пользователей получат такие меры по смягчению.

Кроме того, фактический патч («микропатч») устраняет только одну уязвимую инструкцию NTLM. Так что в теории его установка должна быть довольно безвредной... но это все еще неофициальный патч безопасности, поэтому вы можете выбирать, что делать по своему усмотрению. Будем надеяться, что Microsoft устранит эту и другие уязвимости в официальных обновлениях скорее раньше, чем позже — если сетевые учетные данные будут украдены даже при простом просмотре затронутой папки в Проводнике, это довольно пугающая возможность.

Источник: Tomshardware.com