Nowa podatność 0day w Windows 11, 10 i Server z nieoficjalną łatką

Nowa podatność 0day w Windows 11, 10 i Server z nieoficjalną łatką

Autor: Krzysztof Sulikowski

Opublikowano: 12/6/2024, 6:30 PM

Liczba odsłon: 448

0patch zidentyfikował wczoraj nową podatność w Windows, która pozwala atakującemu wykradać poświadczenia NTLM za pomocą złośliwego oprogramowania. Ta podatność zero-day dotyczy wszystkich klientów Windows, w tym najnowszej wersji Windows 11 24H2 oraz Windows Server. Microsoft jest już tego świadomy.

Nasi badacze odkryli podatność we wszystkich wersjach Windows Workstation i Server, od Windows 7 i Server 2008 R2, po najnowsze Windows 11 v24H2 i Server 2022.

Ta podatność pozwala atakującemu przejąć dane uwierzytelniania w NTLM użytkownika poprzez samo zobaczenie przez użytkownika złośliwego pliku w Eksploratorze Windows – na przykład otwierając udostępniony folder lub dysk USB z takim plikiem albo przeglądając folder Pobrane, do którego plik został wcześniej automatycznie pobrany ze strony internetowej atakującego.
— Mitja Kolsek z 0patch

Zastanawiasz się, czemu na liście nie ma Windows Server 2025? Współzałożyciel 0patch, Mitja Kolsek, mówi, że zespół wciąż go testuje, ponieważ ma on mniej niż miesiąc i również zawiera ulepszenia związane z NTLM:

Windows Server 2025 został wydany dopiero w listopadzie i nadal przechodzi testy zgodności. Zaczniemy wypuszczać patche 0-day, gdy testy zostaną zakończone (a wyniki będą zadowalające).
— Mitja Kolsek z 0patch

Jako że w przypadku URL File NTLM Hash Disclosure Vulnerability (0day) jest mowa o podatności zero-day, jest ona obecna "w dziczy" i nie posiada oficjalnej łatki producenta, czyli w tym przypadku Microsoftu. 0patch udostępnia swoje własne micropatche dla następujących wersji systemu Windows:

Wycofane wersje:

  • Windows 11 v21H2 - w pełni aktualny
  • Windows 10 v21H2 - w pełni aktualny
  • Windows 10 v21H1 - w pełni aktualny
  • Windows 10 v20H2 - w pełni aktualny
  • Windows 10 v2004 - w pełni aktualny
  • Windows 10 v1909 - w pełni aktualny
  • Windows 10 v1809 - w pełni aktualny
  • Windows 10 v1803 - w pełni aktualny
  • Windows 7 - w pełni aktualny, bez ESU, ESU 1, ESU 2 or lub 3
  • Windows Server 2012 - w pełni aktualny, bez ESU lub ESU 1
  • Windows Server 2012 R2 - w pełni aktualny, bez ESU lub ESU 1
  • Windows Server 2008 R2 - w pełni aktualny, bez ESU, ESU 1, ESU 2, ESU 3 lub ESU 4

Wersje nadal otrzymujące aktualizacje

  • Windows 11 v24H2 - w pełni aktualny
  • Windows 11 v23H2 - w pełni aktualny
  • Windows 11 v22H2 - w pełni aktualny
  • Windows 10 v22H2 - w pełni aktualny
  • Windows Server 2022 - w pełni aktualny
  • Windows Server 2019 - w pełni aktualny
  • Windows Server 2016 - w pełni aktualny
  • Windows Server 2012 w pełni aktualny z ESU 2
  • Windows Server 2012 R2 w pełni aktualny z ESU 2

Microsoft zdaje sobie sprawę z ryzyka, jakie stwarza NTLM (New Technology LAN Manager), dlatego niedawno zapowiedział uśmiercenie tej funkcjonalności i zachęca użytkowników oraz organizacje do przejścia na bezpieczniejsze i nowocześniejsze alternatywy. Jeśli chodzi o oficjalny patch od Microsoftu, może on nadejść w najbliższy wtorek, czyli grudniowy Patch Tuesday.

Źródło: https://blog.0patch.com/2024/12/url-file-ntlm-hash-disclosure.html

Jak wykorzystać Copilot w codziennej pracy? Kurs w przedsprzedaży
Jak wykorzystać Copilot w codziennej pracy? Kurs w przedsprzedaży

Wydarzenia