Er zijn gratis, niet-officiële patches beschikbaar voor een nieuwe Windows zero-day kwetsbaarheid waarmee externe aanvallers NTLM-referenties kunnen stelen door doelwitten te verleiden om malafide bestanden in Windows Verkenner te bekijken.

NTLM is veelvuldig uitgebuit in NTLM relay-aanvallen (waarbij aanvallers kwetsbare netwerkapparaten dwingen te authenticeren op door de aanvaller beheerde servers) en pass-the-hash-aanvallen (waarbij ze kwetsbaarheden uitbuiten om NTLM-hashes te stelen, wat gehashte wachtwoorden zijn).

Aanvallers gebruiken vervolgens de gestolen hash om zich als de gecompromitteerde gebruiker te authenticeren, waardoor ze toegang krijgen tot gevoelige gegevens en zich lateraal kunnen verspreiden op het netwerk. Vorig jaar kondigde Microsoft plannen aan om het NTLM authenticatieprotocol in toekomstige Windows 11-versies uit te faseren.

Onderzoekers van ACROS Security ontdekten de nieuwe SCF File NTLM-hash openbaarmakingskwetsbaarheid tijdens het ontwikkelen van patches voor een ander NTLM-hash openbaarmakingsprobleem. Deze nieuwe zero-day heeft nog geen CVE-ID gekregen en treft alle versies van Windows, van Windows 7 tot de nieuwste Windows 11-releases en van Server 2008 R2 tot Server 2025.

“De kwetsbaarheid stelt een aanvaller in staat om de NTLM-referenties van een gebruiker te verkrijgen door de gebruiker een kwaadaardig bestand in Windows Verkenner te laten bekijken – bijvoorbeeld door een gedeelde map of USB-schijf met een dergelijk bestand te openen, of de map Downloads te bekijken waar een dergelijk bestand eerder automatisch vanaf de webpagina van de aanvaller is gedownload,” zei ACROS Security CEO Mitja Kolsek op dinsdag.

“Houd er rekening mee dat hoewel deze soorten kwetsbaarheden niet kritiek zijn en hun exploitatie afhankelijk is van verschillende factoren (bijvoorbeeld dat de aanvaller zich al in het netwerk van het slachtoffer bevindt of een extern doelwit heeft zoals een publiek toegankelijke Exchange-server om de gestolen referenties naar over te brengen), ze zijn gevonden in daadwerkelijke aanvallen.”

Micropatches beschikbaar voor alle 0patch-gebruikers

ACROS Security biedt nu gratis en niet-officiële beveiligingspatches voor deze zero-day fout via zijn 0patch micropatching-service voor alle getroffen Windows-versies totdat Microsoft officiële oplossingen publiceert.

“We hebben dit probleem aan Microsoft gemeld, en – zoals gebruikelijk – micropatches voor uitgebracht die gratis blijven totdat Microsoft een officiële oplossing heeft geleverd,” voegde Kolsek toe. “We onthouden details over deze kwetsbaarheid totdat de oplossing van Microsoft beschikbaar komt, om het risico van kwaadaardig misbruik te minimaliseren.”

Om de micropatch op je Windows-pc te installeren, maak je een account aan en installeer je de 0patch-agent. Zodra deze wordt gestart, past de agent de micropatch automatisch toe zonder dat een systeemherstart nodig is, tenzij er een aangepast patchbeleid is dat dit blokkeert.

In de afgelopen maanden heeft 0patch drie andere zero-day kwetsbaarheden gemeld die Microsoft heeft gepatcht of nog moet aanpakken, waaronder een Windows Theme-bug (gepatcht als CVE-2025-21308), een Mark of the Web-bypass op Server 2012 (nog steeds een zero-day zonder een officiële patch), en een URL File NTLM Hash Disclosure Vulnerability (gepatcht als CVE-2025-21377).

0patch heeft in het verleden ook andere NTLM hash openbaarmakingsfouten onthuld, zoals PetitPotam, PrinterBug/SpoolSample en DFSCoerce, die nog een patch moeten ontvangen.

Een woordvoerder van Microsoft kon niet onmiddellijk een verklaring geven toen hij eerder vandaag door BleepingComputer werd benaderd.