Zero-Day no Windows
26 de Março de 2025

Patches não oficiais e gratuitos estão disponíveis para uma nova vulnerabilidade zero-day do Windows que permite que atacantes remotos roubem credenciais NTLM ao enganar os alvos para visualizar arquivos maliciosos no Windows Explorer.

O NTLM tem sido amplamente explorado em ataques de NTLM relay (onde os agentes de ameaça forçam dispositivos de rede vulneráveis a se autenticarem em servidores controlados pelo atacante) e ataques de pass-the-hash (onde exploram vulnerabilidades para roubar hashes NTLM, que são senhas hasheadas).

Os atacantes então usam o hash roubado para se autenticarem como o usuário comprometido, ganhando acesso a dados sensíveis e se espalhando lateralmente na rede.

No ano passado, a Microsoft anunciou planos para aposentar o protocolo de autenticação NTLM em versões futuras do Windows 11.

Pesquisadores da ACROS Security descobriram a nova vulnerabilidade de divulgação de hash NTLM de arquivo SCF enquanto desenvolviam patches para outro problema de divulgação de hash NTLM.

Este novo zero-day não recebeu um CVE-ID e afeta todas as versões do Windows, do Windows 7 até as últimas liberações do Windows 11 e do Server 2008 R2 ao Server 2025.

"A vulnerabilidade permite que um atacante obtenha as credenciais NTLM do usuário ao fazer com que o usuário visualize um arquivo malicioso no Windows Explorer – por exemplo, ao abrir uma pasta compartilhada ou disco USB com tal arquivo, ou visualizando a pasta de Downloads onde tal arquivo foi previamente baixado automaticamente da página web do atacante," disse o CEO da ACROS Security, Mitja Kolsek, na terça-feira(25).

Note que, embora esses tipos de vulnerabilidades não sejam críticos e sua explorabilidade dependa de vários fatores (por exemplo, o atacante já estar na rede da vítima ou ter um alvo externo como um servidor Exchange voltado para o público para relay das credenciais roubadas), eles foram encontrados em ataques reais.

A ACROS Security agora fornece patches de segurança gratuitos e não oficiais para essa falha de zero-day através de seu serviço de micropatching 0patch para todas as versões do Windows afetadas até que a Microsoft lance correções oficiais.

"Relatamos este problema à Microsoft e - como de costume - emitimos micropatches para ele que permanecerão gratuitos até que a Microsoft tenha fornecido uma correção oficial," adicionou Kolsek.

"Estamos retendo detalhes sobre esta vulnerabilidade até que a correção da Microsoft esteja disponível para minimizar o risco de exploração maliciosa."

Para instalar o micropatch em seu PC Windows, crie uma conta e instale o agente 0patch.

Uma vez lançado, o agente aplica o micropatch automaticamente sem requerer um reinício do sistema se não houver uma política de patching personalizada para bloqueá-lo.

"Estamos cientes deste relatório e tomaremos medidas conforme necessário para ajudar a manter nossos clientes protegidos," disse um porta-voz da Microsoft.

Nos últimos meses, a 0patch relatou outras três vulnerabilidades zero-day que a Microsoft corrigiu ou ainda não abordou, incluindo um bug do Windows Theme (corrigido como CVE-2025-21308 ), um bypass do Mark of the Web no Server 2012 (ainda um zero-day sem patch oficial), e uma Vulnerabilidade de Divulgação de Hash NTLM de Arquivo URL (corrigida como CVE-2025-21377 ).

A 0patch também divulgou outras falhas de divulgação de hash NTLM no passado, como PetitPotam, PrinterBug/SpoolSample, e DFSCoerce, que ainda estão para receber uma correção.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...