Zero-Day no Windows
26 de Março de 2025

Patches não oficiais e gratuitos estão disponíveis para uma nova vulnerabilidade zero-day do Windows que permite que atacantes remotos roubem credenciais NTLM ao enganar os alvos para visualizar arquivos maliciosos no Windows Explorer.

O NTLM tem sido amplamente explorado em ataques de NTLM relay (onde os agentes de ameaça forçam dispositivos de rede vulneráveis a se autenticarem em servidores controlados pelo atacante) e ataques de pass-the-hash (onde exploram vulnerabilidades para roubar hashes NTLM, que são senhas hasheadas).

Os atacantes então usam o hash roubado para se autenticarem como o usuário comprometido, ganhando acesso a dados sensíveis e se espalhando lateralmente na rede.

No ano passado, a Microsoft anunciou planos para aposentar o protocolo de autenticação NTLM em versões futuras do Windows 11.

Pesquisadores da ACROS Security descobriram a nova vulnerabilidade de divulgação de hash NTLM de arquivo SCF enquanto desenvolviam patches para outro problema de divulgação de hash NTLM.

Este novo zero-day não recebeu um CVE-ID e afeta todas as versões do Windows, do Windows 7 até as últimas liberações do Windows 11 e do Server 2008 R2 ao Server 2025.

"A vulnerabilidade permite que um atacante obtenha as credenciais NTLM do usuário ao fazer com que o usuário visualize um arquivo malicioso no Windows Explorer – por exemplo, ao abrir uma pasta compartilhada ou disco USB com tal arquivo, ou visualizando a pasta de Downloads onde tal arquivo foi previamente baixado automaticamente da página web do atacante," disse o CEO da ACROS Security, Mitja Kolsek, na terça-feira(25).

Note que, embora esses tipos de vulnerabilidades não sejam críticos e sua explorabilidade dependa de vários fatores (por exemplo, o atacante já estar na rede da vítima ou ter um alvo externo como um servidor Exchange voltado para o público para relay das credenciais roubadas), eles foram encontrados em ataques reais.

A ACROS Security agora fornece patches de segurança gratuitos e não oficiais para essa falha de zero-day através de seu serviço de micropatching 0patch para todas as versões do Windows afetadas até que a Microsoft lance correções oficiais.

"Relatamos este problema à Microsoft e - como de costume - emitimos micropatches para ele que permanecerão gratuitos até que a Microsoft tenha fornecido uma correção oficial," adicionou Kolsek.

"Estamos retendo detalhes sobre esta vulnerabilidade até que a correção da Microsoft esteja disponível para minimizar o risco de exploração maliciosa."

Para instalar o micropatch em seu PC Windows, crie uma conta e instale o agente 0patch.

Uma vez lançado, o agente aplica o micropatch automaticamente sem requerer um reinício do sistema se não houver uma política de patching personalizada para bloqueá-lo.

"Estamos cientes deste relatório e tomaremos medidas conforme necessário para ajudar a manter nossos clientes protegidos," disse um porta-voz da Microsoft.

Nos últimos meses, a 0patch relatou outras três vulnerabilidades zero-day que a Microsoft corrigiu ou ainda não abordou, incluindo um bug do Windows Theme (corrigido como CVE-2025-21308 ), um bypass do Mark of the Web no Server 2012 (ainda um zero-day sem patch oficial), e uma Vulnerabilidade de Divulgação de Hash NTLM de Arquivo URL (corrigida como CVE-2025-21377 ).

A 0patch também divulgou outras falhas de divulgação de hash NTLM no passado, como PetitPotam, PrinterBug/SpoolSample, e DFSCoerce, que ainda estão para receber uma correção.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...