Gratis onofficiële patches zijn nu beschikbaar voor een nieuwe zero-day kwetsbaarheid in Windows-thema’s waarmee aanvallers op afstand de NTLM-referenties van een doelwit kunnen stelen.

NTLM is veelvuldig misbruikt bij NTLM relay-aanvallen, waarbij kwaadwillenden kwetsbare netwerkapparaten dwingen om te authenticeren tegen servers onder hun controle, en bij pass-the-hash-aanvallen, waarbij zij systeemkwetsbaarheden uitbuiten of kwaadaardige software inzetten om NTLM-hashes (gehashte wachtwoorden) van doelapparaten te verkrijgen.

Wanneer zij de hash hebben, kunnen de aanvallers zich authenticeren als de gecompromitteerde gebruiker, toegang krijgen tot gevoelige gegevens en zich verder verspreiden op het nu gecompromitteerde netwerk. Een jaar geleden kondigde Microsoft aan dat het van plan is het NTLM-authenticatieprotocol in de toekomst uit Windows 11 te verwijderen.

Omzeiling voor onvolledige beveiligingspatch

Onderzoekers van ACROS Security ontdekten de nieuwe zero-day kwetsbaarheid in Windows-thema’s (die nog geen CVE-ID heeft gekregen) tijdens het ontwikkelen van een micropatch voor een beveiligingsprobleem dat bekend staat als CVE-2024-38030, een kwetsbaarheid die gebruikersreferenties kan lekken (gemeld door Akamai’s Tomer Peled). Dit is zelf een omzeiling voor een andere spoofingkwetsbaarheid in Windows-thema’s (CVE-2024-21320) die Microsoft in januari heeft gepatcht.

Peled ontdekte dat “wanneer een themabestand een netwerkbestandspad opgaf voor bepaalde themakenmerken (specifiek BrandImage en Wallpaper), Windows automatisch geauthenticeerde netwerkverzoeken stuurde naar externe hosts, inclusief de NTLM-referenties van de gebruiker wanneer zo’n themabestand in Windows Verkenner werd bekeken.”

“Dit betekende dat alleen het zien van een kwaadaardig themabestand in een map of op het bureaublad voldoende zou zijn om de referenties van de gebruiker te lekken zonder extra gebruikersactie,” aldus Mitja Kolsek, CEO van ACROS Security.

Hoewel Microsoft CVE-2024-38030 in juli heeft gepatcht, vond ACROS Security een ander probleem dat aanvallers konden misbruiken om de NTLM-referenties van een doelwit te stelen op alle volledig bijgewerkte Windows-versies, van Windows 7 tot Windows 11 24H2.

“In plaats van alleen CVE-2024-38030 te verhelpen, hebben we een algemenere patch gemaakt voor Windows-thema’s die alle uitvoeringspaden dekt die leiden tot het verzenden van een netwerkverzoek naar een externe host die in een themabestand is opgegeven bij het enkel bekijken van het bestand,” voegde Kolsek toe.

Kolsek deelde ook een video (hieronder ingebed) die laat zien hoe het kopiëren van een kwaadaardig Windows-themabestand op een volledig gepatcht Windows 11 24H2-systeem (aan de linkerkant) een netwerkverbinding met de machine van een aanvaller triggert, waarbij de NTLM-referenties van de ingelogde gebruiker worden blootgesteld.

Gratis en onofficiële micropatches beschikbaar

Het bedrijf biedt nu gratis en onofficiële beveiligingspatches aan voor deze zero-day bug via zijn 0patch-micropatchingservice voor alle getroffen Windows-versies, totdat officiële oplossingen van Microsoft beschikbaar zijn. Deze patches zijn al toegepast op alle online Windows-systemen die de 0patch-agent van het bedrijf draaien.

“Aangezien dit een ‘0day’-kwetsbaarheid is zonder officiële fix van de leverancier, bieden wij onze micropatches gratis aan totdat zo’n fix beschikbaar is,” zei Kolsek.

Om de micropatch op uw Windows-apparaat te installeren, maakt u een 0patch-account aan en installeert u de 0patch-agent. Zodra de agent is gestart, wordt de micropatch automatisch toegepast zonder dat een systeemherstart nodig is, mits er geen aangepast patchbeleid is dat dit blokkeert.

Het is echter belangrijk op te merken dat 0patch in dit geval alleen micropatches biedt voor Windows Workstation, omdat Windows-thema’s niet werken op Windows Server tenzij de Desktop Experience-functie is geïnstalleerd.

“Bovendien, om op een server een referentielek te veroorzaken, is het niet voldoende om alleen een themabestand in Verkenner of op het bureaublad te bekijken; het themabestand moet worden dubbelgeklikt en toegepast,” voegde Kolsek toe.

Toen Microsoft door BleepingComputer werd gevraagd naar de planning voor een officiële patch, zei het Microsoft Security Response Center tegen Kolsek dat ze “de bedoeling hebben om dit probleem zo snel mogelijk op te lossen,” en dat ze op de hoogte zijn van dit rapport en maatregelen zullen nemen om klanten te beschermen.

Windows-gebruikers die een alternatief zoeken voor de micropatches van 0patch totdat er officiële patches beschikbaar zijn, kunnen ook mitigerende maatregelen van Microsoft toepassen, waaronder een groepsbeleid dat NTLM-hashes blokkeert, zoals gedetailleerd in het CVE-2024-21320-advies.
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----