0patch zidentyfikował wczoraj nową podatność w Windows, która pozwala atakującemu wykradać poświadczenia NTLM za pomocą złośliwego oprogramowania. Ta podatność zero-day dotyczy wszystkich klientów Windows, w tym najnowszej wersji Windows 11 24H2 oraz Windows Server. Microsoft jest już tego świadomy.
Nasi badacze odkryli podatność we wszystkich wersjach Windows Workstation i Server, od Windows 7 i Server 2008 R2, po najnowsze Windows 11 v24H2 i Server 2022.
Ta podatność pozwala atakującemu przejąć dane uwierzytelniania w NTLM użytkownika poprzez samo zobaczenie przez użytkownika złośliwego pliku w Eksploratorze Windows – na przykład otwierając udostępniony folder lub dysk USB z takim plikiem albo przeglądając folder Pobrane, do którego plik został wcześniej automatycznie pobrany ze strony internetowej atakującego.
— Mitja Kolsek z 0patch
Zastanawiasz się, czemu na liście nie ma Windows Server 2025? Współzałożyciel 0patch, Mitja Kolsek, mówi, że zespół wciąż go testuje, ponieważ ma on mniej niż miesiąc i również zawiera ulepszenia związane z NTLM:
Windows Server 2025 został wydany dopiero w listopadzie i nadal przechodzi testy zgodności. Zaczniemy wypuszczać patche 0-day, gdy testy zostaną zakończone (a wyniki będą zadowalające).
— Mitja Kolsek z 0patch
Jako że w przypadku URL File NTLM Hash Disclosure Vulnerability (0day) jest mowa o podatności zero-day, jest ona obecna "w dziczy" i nie posiada oficjalnej łatki producenta, czyli w tym przypadku Microsoftu. 0patch udostępnia swoje własne micropatche dla następujących wersji systemu Windows:
Wycofane wersje:
- Windows 11 v21H2 - w pełni aktualny
- Windows 10 v21H2 - w pełni aktualny
- Windows 10 v21H1 - w pełni aktualny
- Windows 10 v20H2 - w pełni aktualny
- Windows 10 v2004 - w pełni aktualny
- Windows 10 v1909 - w pełni aktualny
- Windows 10 v1809 - w pełni aktualny
- Windows 10 v1803 - w pełni aktualny
- Windows 7 - w pełni aktualny, bez ESU, ESU 1, ESU 2 or lub 3
- Windows Server 2012 - w pełni aktualny, bez ESU lub ESU 1
- Windows Server 2012 R2 - w pełni aktualny, bez ESU lub ESU 1
- Windows Server 2008 R2 - w pełni aktualny, bez ESU, ESU 1, ESU 2, ESU 3 lub ESU 4
Wersje nadal otrzymujące aktualizacje
- Windows 11 v24H2 - w pełni aktualny
- Windows 11 v23H2 - w pełni aktualny
- Windows 11 v22H2 - w pełni aktualny
- Windows 10 v22H2 - w pełni aktualny
- Windows Server 2022 - w pełni aktualny
- Windows Server 2019 - w pełni aktualny
- Windows Server 2016 - w pełni aktualny
- Windows Server 2012 w pełni aktualny z ESU 2
- Windows Server 2012 R2 w pełni aktualny z ESU 2
Microsoft zdaje sobie sprawę z ryzyka, jakie stwarza NTLM (New Technology LAN Manager), dlatego niedawno zapowiedział uśmiercenie tej funkcjonalności i zachęca użytkowników oraz organizacje do przejścia na bezpieczniejsze i nowocześniejsze alternatywy. Jeśli chodzi o oficjalny patch od Microsoftu, może on nadejść w najbliższy wtorek, czyli grudniowy Patch Tuesday.