Patches não oficiais e gratuitos estão disponíveis para uma nova vulnerabilidade de zero-day em Temas do Windows que permite aos atacantes roubar as credenciais NTLM de um alvo remotamente.
NTLM tem sido extensivamente explorado em ataques de retransmissão NTLM, onde atores de ameaças forçam dispositivos de rede vulneráveis a se autenticarem contra servidores sob seu controle, e ataques pass-the-hash, onde exploram vulnerabilidades do sistema ou implantam software malicioso para adquirir hashes NTLM (que são senhas hash) de sistemas visados.
Uma vez que tenham o hash, os atacantes podem se autenticar como o usuário comprometido, ganhando acesso a dados sensíveis e se espalhando lateralmente na rede agora comprometida.
Há um ano, a Microsoft anunciou que planeja eliminar o protocolo de autenticação NTLM no Windows 11 no futuro.
zero-day em Temas do Windows (que ainda não foi atribuída um ID CVE) enquanto desenvolviam um micropatch para uma questão de segurança rastreada como
CVE-2024-38030
, que poderia vazar as credenciais de um usuário (reportado por Tomer Peled da Akamai), por si só um bypass para outra vulnerabilidade de spoofing de Temas do Windows (
CVE-2024-21320
) corrigida pela Microsoft em janeiro.
Peled descobriu que "quando um arquivo de tema especificava um caminho de arquivo de rede para algumas das propriedades do tema (especificamente BrandImage e Wallpaper), o Windows enviaria automaticamente solicitações de rede autenticadas para hosts remotos, incluindo as credenciais NTLM do usuário quando tal arquivo de tema fosse visualizado no Windows Explorer."
"Isso significava que simplesmente ver um arquivo de tema malicioso listado em uma pasta ou colocado na área de trabalho seria suficiente para vazar as credenciais do usuário sem nenhuma ação adicional do usuário," disse Mitja Kolsek, CEO da ACROS Security.
Embora a Microsoft tenha corrigido o
CVE-2024-38030
em julho, a ACROS Security encontrou outra questão que os atacantes poderiam explorar para roubar as credenciais NTLM de um alvo em todas as versões do Windows totalmente atualizadas, do Windows 7 ao Windows 11 24H2.
"Então, ao invés de apenas corrigir o
CVE-2024-38030
, criamos um patch mais geral para arquivos de temas do Windows que cobriria todos os caminhos de execução levando ao Windows enviando uma solicitação de rede para um host remoto especificado em um arquivo de tema apenas ao visualizar o arquivo," Kolsek adicionou.
Kolsek também compartilhou um vídeo de demonstração (incorporado abaixo), mostrando como copiar um arquivo de tema do Windows malicioso em um sistema Windows 11 24H2 totalmente patcheado (do lado esquerdo) dispara uma conexão de rede para a máquina de um atacante, expondo as credenciais NTLM do usuário logado.
A empresa agora fornece gratuitamente patches de segurança não oficiais para esse bug de zero-day por meio de seu serviço de micropatch 0patch para todas as versões do Windows afetadas até que correções oficiais estejam disponíveis da Microsoft, as quais já foram aplicadas em todos os sistemas Windows online executando o agente 0patch.
"Como se trata de uma vulnerabilidade '0day' sem correção oficial do fornecedor disponível, estamos fornecendo nossos micropatches gratuitamente até que tal correção esteja disponível," disse Kolsek.
Para instalar o micropatch no seu dispositivo Windows, crie uma conta 0patch e instale o agente 0patch.
Uma vez lançado o agente, o micropatch será aplicado automaticamente sem necessidade de reiniciar o sistema se não houver uma política de patching personalizada que o bloqueie.
Entretanto, é importante notar que, neste caso, o 0patch só fornece micropatches para Windows Workstation porque Temas do Windows não funciona no Windows Server até que o recurso Experiência de Desktop seja instalado.
"Além disso, para que o vazamento de credenciais ocorra em um servidor, não basta apenas visualizar um arquivo de tema no Windows Explorer ou na área de trabalho; em vez disso, o arquivo de tema precisa ser clicado duas vezes e o tema assim aplicado," Kolsek adicionou.
Enquanto a Microsoft informou que estão "cientes deste relatório e tomarão medidas conforme necessário para ajudar a manter os clientes protegidos" quando questionados sobre o cronograma para um patch, o Centro de Resposta de Segurança da Microsoft informou a Kolsek que "pretendem corrigir essa questão o mais breve possível."
Usuários do Windows que desejam uma alternativa aos micropatches da 0patch até que as correções oficiais estejam disponíveis também podem aplicar medidas de mitigação fornecidas pela Microsoft, incluindo a aplicação de uma política de grupo que bloqueia hashes NTLM conforme detalhado no aviso
CVE-2024-21320
.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...