Простого отображения вредоносного файла в проводнике уже достаточно для атаки.
Исследователи обнаружили новую уязвимость в системе Windows , связанную с темами оформления, которая позволяет злоумышленникам удалённо красть учётные данные NTLM . Эта уязвимость остаётся актуальной на всех версиях Windows — от 7 до 11, несмотря на выпущенные ранее обновления безопасности.
Эксплуатация NTLM давно используется в Relay-атаках, где хакеры заставляют уязвимые устройства подключаться к подконтрольным серверам, получая доступ к конфиденциальным данным. Microsoft уже объявила о намерении отказаться от NTLM в будущих версиях Windows 11.
Исследователь ACROS Security выявил новую уязвимость в процессе разработки микропатча для известного бага Для просмотра ссылки Войдиили Зарегистрируйся который также затрагивал темы оформления и ранее была описан специалистом компании Akamai. Уязвимость приводила к утечке данных при просмотре сетевых путей в параметрах темы, таких как обои или изображение бренда.
Свежевыявленная zero-day уязвимость оказалась весьма коварной: по словам генерального директора ACROS Security Митьи Кольшека, одного лишь отображения вредоносного файла в проводнике Windows достаточно для автоматической передачи учётных данных пользователя, даже без запуска файла и непосредственного применения темы оформления.
Демонстрация атаки на свежей версии Windows 11 24H2 доступна в видео ниже:
<div class="responsive-video"><iframe src="
" frameborder="0" allowfullscreen=""></iframe> В качестве временного решения ACROS Security предлагает установить фирменное приложение-сервис Для просмотра ссылки Войди или Зарегистрируйся для применения неофициальной заплатки безопасности. Делать это или нет, каждый пользователь в праве решать сам. Так или иначе, Microsoft уже подтвердила наличие проблемы и заявила о скором выпуске обновления.
В ожидании официального патча пользователи могут воспользоваться мерами предосторожности, предложенными Microsoft, например, заблокировать использование NTLM-хэшей с помощью групповой политики, как описано в Для просмотра ссылки Войдиили Зарегистрируйся к CVE-2024-21320.
Как уточнил Кольшек, новая уязвимость не затрагивает Windows Server в стандартной конфигурации, так как темы оформления там не используются без установки дополнительного компонента Desktop Experience. Однако на серверах утечка данных всё же возможна, хоть и при непосредственном применении темы, а не при обычном просмотре в проводнике.
Исследователи обнаружили новую уязвимость в системе Windows , связанную с темами оформления, которая позволяет злоумышленникам удалённо красть учётные данные NTLM . Эта уязвимость остаётся актуальной на всех версиях Windows — от 7 до 11, несмотря на выпущенные ранее обновления безопасности.
Эксплуатация NTLM давно используется в Relay-атаках, где хакеры заставляют уязвимые устройства подключаться к подконтрольным серверам, получая доступ к конфиденциальным данным. Microsoft уже объявила о намерении отказаться от NTLM в будущих версиях Windows 11.
Исследователь ACROS Security выявил новую уязвимость в процессе разработки микропатча для известного бага Для просмотра ссылки Войди
Свежевыявленная zero-day уязвимость оказалась весьма коварной: по словам генерального директора ACROS Security Митьи Кольшека, одного лишь отображения вредоносного файла в проводнике Windows достаточно для автоматической передачи учётных данных пользователя, даже без запуска файла и непосредственного применения темы оформления.
Демонстрация атаки на свежей версии Windows 11 24H2 доступна в видео ниже:
<div class="responsive-video"><iframe src="
В ожидании официального патча пользователи могут воспользоваться мерами предосторожности, предложенными Microsoft, например, заблокировать использование NTLM-хэшей с помощью групповой политики, как описано в Для просмотра ссылки Войди
Как уточнил Кольшек, новая уязвимость не затрагивает Windows Server в стандартной конфигурации, так как темы оформления там не используются без установки дополнительного компонента Desktop Experience. Однако на серверах утечка данных всё же возможна, хоть и при непосредственном применении темы, а не при обычном просмотре в проводнике.
- Источник новости
- www.securitylab.ru