针对 Windows 主题系统新发现的零日漏洞,现已提供免费的非官方补丁。该漏洞可让攻击者远程窃取目标用户的 NTLM 凭据。
NTLM 协议此前已在多种攻击中被广泛利用,包括 NTLM 中继攻击(攻击者强制易受攻击的网络设备向其控制的服务器进行身份验证)和 哈希传递攻击(攻击者利用系统漏洞或部署恶意软件从目标系统获取 NTLM 哈希值,即经过哈希处理的密码)。
一旦获取哈希值,攻击者就能以被攻击用户的身份进行认证,从而访问敏感数据并在已被入侵的网络中横向扩散。一年前,微软曾宣布计划在未来的 Windows 11 中逐步淘汰 NTLM 认证协议。
绕过不完整的安全补丁
ACROS Security 的研究人员在为一个安全漏洞(编号 CVE-2024-38030)开发微补丁时,发现了这个新的 Windows 主题零日漏洞(目前尚未分配 CVE 编号)。CVE-2024-38030 漏洞可能导致用户凭据泄露(由 Akamai 的 Tomer Peled 发现并报告),该漏洞本身是对另一个 Windows 主题欺骗漏洞(CVE-2024-21320)的绕过,后者已在今年一月份被微软修复。
正如微软在 CVE-2024-21320 公告中所述:"攻击者需要诱使用户将恶意文件加载到易受攻击的系统中,通常是通过电子邮件或即时通讯消息进行诱导,然后说服用户操作特制文件,但不一定需要用户点击或打开恶意文件。"
尽管微软已在七月份修复了 CVE-2024-38030,但 ACROS Security 发现了另一个问题,攻击者可以利用这个漏洞在所有已完全更新的 Windows 版本(从 Windows 7 到 Windows 11 24H2)上窃取目标用户的 NTLM 凭据。
ACROS Security 的 CEO Mitja Kolsek 表示:"在分析这个问题时,我们的安全研究人员决定深入研究,结果在所有已完全更新的 Windows 版本中(包括最新的 Windows 11 24H2)发现了同样问题的另一个变种。"
"因此,我们不仅修复了 CVE-2024-38030,还为 Windows 主题文件创建了一个更全面的补丁,以覆盖所有可能导致 Windows 在仅仅查看主题文件时就向远程主机发送网络请求的执行路径。"
Kolsek 分享了一段演示视频(如下),展示了在一台已完全打补丁的 Windows 11 24H2 系统上(左侧),复制恶意 Windows 主题文件如何触发与攻击者机器的网络连接,从而暴露登录用户的 NTLM 凭据。
免费非官方微补丁已发布
在等待微软官方修复之前,该公司现通过其 0patch 微补丁服务 为这个零日漏洞提供免费的非官方安全补丁,适用于所有受影响的 Windows 版本。这些补丁已自动应用于所有运行该公司 0patch 代理程序的在线 Windows 系统。
Kolsek 说:"由于这是一个尚无官方修复方案的'零日'漏洞,我们将在官方修复方案发布之前免费提供微补丁。"
要在您的 Windows 设备上安装微补丁,需要创建一个 0patch 账户并安装 0patch 代理程序。启动代理程序后,如果没有阻止它的自定义补丁策略,微补丁将自动应用,无需重启系统。
不过需要注意的是,在这种情况下,0patch 仅为 Windows 工作站提供微补丁,因为 Windows 主题功能在未安装桌面体验功能的 Windows Server 上无法使用。
Kolsek 补充说:"此外,在服务器上要触发凭据泄露,仅仅在 Windows 资源管理器或桌面上查看主题文件是不够的,需要双击主题文件并应用主题才会发生。"
当被问及补丁发布时间表时,微软告诉 BleepingComputer:"我们已知悉这份报告,将采取必要行动保护客户安全"。微软安全响应中心则向 Kolsek 表示,他们"计划尽快修复这个问题"。
在官方补丁发布之前,不想使用 0patch 微补丁的 Windows 用户也可以采用微软提供的缓解措施,包括应用一个阻止 NTLM 哈希的组策略,详情请参见 CVE-2024-21320 公告。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...