Er is een nieuwe zero-day kwetsbaarheid ontdekt die aanvallers in staat stelt om NTLM-referenties te verzamelen door simpelweg het doelwit te misleiden een kwaadwillend bestand in Windows Verkenner te bekijken.

De kwetsbaarheid is ontdekt door het 0patch-team, een platform dat ongeoorloofde ondersteuning biedt voor verouderde Windows-versies, en is gerapporteerd aan Microsoft. Er is echter nog geen officiële oplossing uitgebracht.

Volgens 0patch heeft het probleem, dat momenteel geen CVE-ID heeft, invloed op alle Windows-versies van Windows 7 en Server 2008 R2 tot de nieuwste Windows 11 24H2 en Server 2022.

### Een ‘klikloze’ exploit

0patch heeft de technische details van de zero-day kwetsbaarheid achtergehouden totdat Microsoft een officiële oplossing biedt om te voorkomen dat actieve exploitatie in de openbaarheid wordt gestimuleerd.

De onderzoekers legden uit dat de aanval werkt door simpelweg een speciaal vervaardigd kwaadwillend bestand te bekijken in Windows Verkenner, dus het openen van het bestand is niet vereist.

“De kwetsbaarheid stelt een aanvaller in staat om de NTLM-referenties van de gebruiker te verkrijgen door simpelweg de gebruiker het kwaadwillende bestand in Windows Verkenner te laten bekijken – bijvoorbeeld door het openen van een gedeelde map of USB-schijf met zo’n bestand, of het bekijken van de map Downloads waar zo’n bestand eerder automatisch werd gedownload van de webpagina van de aanvaller,” legt 0patch uit.

Hoewel 0patch geen verdere details over de kwetsbaarheid deelt, begrijpt BleepingComputer dat het een uitgaande NTLM-verbinding naar een externe share afdwingt. Dit zorgt ervoor dat Windows automatisch NTLM-hashes stuurt voor de ingelogde gebruiker, die de aanvaller vervolgens kan stelen.

Zoals herhaaldelijk is aangetoond, kunnen deze hashes worden gekraakt, waardoor dreigingsactoren toegang kunnen krijgen tot inlognamen en wachtwoorden in platte tekst. Microsoft kondigde een jaar geleden aan van plan te zijn om in de toekomst het NTLM-verificatieprotocol in Windows 11 uit te faseren.

0patch merkt op dat dit de derde zero-day kwetsbaarheid is die ze onlangs aan Microsoft hebben gerapporteerd en waar de leverancier geen directe acties heeft ondernomen om het aan te pakken.

De andere twee zijn de Mark of the Web (MotW) bypass op Windows Server 2012, bekendgemaakt eind vorige maand, en een kwetsbaarheid in Windows Thema’s die diefstal van externe NTLM-referenties mogelijk maakt, onthuld eind oktober. Beide problemen blijven onopgelost.

0patch zegt dat andere NTLM-hash-onthullingsfouten die in het verleden zijn openbaar gemaakt, zoals PetitPotam, PrinterBug/SpoolSample en DFSCoerce, allemaal zonder een officiële oplossing blijven in de nieuwste Windows-versies, waardoor gebruikers alleen de door 0patch verstrekte micropatches hebben.

### Beschikbaarheid van de micropatch

0patch zal zijn micropatch voor de nieuwste zero-day die ze hebben ontdekt, gratis beschikbaar stellen voor alle gebruikers die op hun platform zijn geregistreerd totdat een officiële oplossing van Microsoft beschikbaar komt.

PRO- en Enterprise-accounts hebben de beveiligingsmicropatch al automatisch ontvangen, tenzij hun configuratie dit expliciet verhindert.

Om de patch te ontvangen, maak je een gratis account aan op het 0patch Central, start je een gratis proefperiode en installeer je vervolgens de agent en laat je deze automatisch de juiste micropatches toepassen. Geen herstart is vereist.

Gebruikers die de niet-officiële patch van 0patch niet willen toepassen, kunnen overwegen om NTLM-authenticatie uit te schakelen met een Groepsbeleid onder ‘Beveiligingsinstellingen > Lokale beleidsregels > Beveiligingsopties’, en de “Netwerkbeveiliging: Beperk NTLM”-beleid te configureren. Hetzelfde kan worden bereikt via registerwijzigingen.

BleepingComputer heeft Microsoft benaderd met vragen over de kwetsbaarheid en de plannen om het aan te pakken, maar we wachten nog op een reactie.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----