پچهای غیررسمی رایگان اکنون برای یک آسیبپذیری روز صفر جدید در تمهای ویندوز در دسترس هستند که به مهاجمان اجازه میدهد اطلاعات اعتبارسنجی NTLM هدف را از راه دور به سرقت ببرند.
پروتکل NTLM بهطور گسترده در حملات NTLM relay مورد سوءاستفاده قرار گرفته است، جایی که مهاجمان سایبری دستگاههای آسیبپذیر شبکه را مجبور میکنند که به سرورهایی که تحت کنترل آنها هستند، احراز هویت کنند؛ و همچنین در حملات pass-the-hash، جایی که آنها از آسیبپذیریهای سیستم سوءاستفاده میکنند یا نرمافزارهای مخرب نصب میکنند تا هشهای NTLM (که همان گذرواژههای هششده هستند) را از سیستمهای هدف بهدست آورند.
مهاجمان پس از بهدستآوردن هش کاربر میتوانند در سیستم قربانی نفوذ کنند و به گسترش حمله در شبکه بپردازند؛ همچنین مایکروسافت برنامه دارد NTLM را به دلیل آسیبپذیریهایش از ویندوز ۱۱ حذف کند.
دور زدن یک پچ امنیتی ناقص
محققان امنیتی ACROS آسیبپذیری Zero Day جدیدی در تمهای ویندوز را کشف کردند (که هنوز شناسه CVE دریافت نکرده است)؛ این کشف هنگام توسعه یک micropatch برای مشکلی امنیتی رخ داد که با کد CVE-2024-38030 پیگیری میشود و میتواند اطلاعات احراز هویت کاربر را افشا کند (این مشکل توسط Tomer Peled از Akamai کشف و گزارش شده است)، که خود یک روش دور زدن برای آسیبپذیری دیگری در تمهای ویندوز با کد CVE-2024-21320 است که مایکروسافت در ماه ژانویه آن را پچ کرده بود.
همانطور که مایکروسافت در راهنمای امنیتی CVE-2024-21320 توضیح میدهد : مهاجم باید کاربر را متقاعد کند که یک فایل مخرب را در سیستم آسیبپذیر بارگذاری کند، معمولاً از طریق فریب دادن کاربر با یک پیام ایمیل یا پیامرسان فوری، و سپس کاربر را متقاعد کند که فایل خاص و دستکاریشده را تغییر دهد، اما لزوماً نیازی نیست که روی فایل مخرب کلیک یا آن را باز کند.
با وجود اینکه مایکروسافت در ماه جولای آسیبپذیری CVE-2024-38030 را پچ کرده است، شرکت ACROS Security مشکل دیگری را یافته است که مهاجمان میتوانند از آن برای سرقت اطلاعات احراز هویت NTLM کاربر هدف در تمامی نسخههای کاملاً بهروزرسانیشده ویندوز، از ویندوز ۷ تا ویندوز ۱۱ نسخه ۲۴H2 سوءاستفاده کنند.
Mitja Kolsek، مدیرعامل ACROS Security، گفت: هنگام بررسی این مشکل، محققان امنیتی ما تصمیم گرفتند کمی بیشتر جستوجو کنند و نمونهی دیگری از همان مشکل را یافتند که همچنان در تمامی نسخههای کاملاً بهروزرسانیشده ویندوز، تا آخرین نسخه فعلی ویندوز ۱۱ نسخه ۲۴H2، وجود داشت.
بنابراین، بهجای اینکه فقط CVE-2024-38030 را برطرف کنیم، یک پچ عمومیتر برای فایلهای تم ویندوز ایجاد کردیم که تمامی مسیرهای اجرایی منتهی به ارسال درخواست شبکه توسط ویندوز به یک میزبان راه دور مشخصشده در فایل تم، تنها با مشاهدهی فایل را پوشش دهد.
Kolsek با استفاده از یک ویدئو نشان میدهد که چگونه یک فایل تم مخرب میتواند باعث اتصال به سیستم مهاجم و افشای اطلاعات حساس کاربر در سیستم ویندوز ۱۱ نسخه ۲۴H2 شود، حتی اگر سیستم بهروز باشد.
micropatches رایگان و غیررسمی در دسترس هستند.
شرکت پچهای امنیتی رایگان و غیررسمی را برای یک آسیبپذیری روز صفر ارائه میدهد تا زمانی که مایکروسافت اصلاحات رسمی را منتشر کند و این پچها به سیستمهای آنلاین با عامل Opatch اعمال شدهاند.
به دلیل وجود یک آسیبپذیری روز صفر بدون اصلاح رسمی، شرکت میکروپچهای خود را بهصورت رایگان ارائه میدهد تا زمانی که مایکروسافت اصلاحی برای آن منتشر کند.
کاربران میتوانند میکروپچها را از طریق ایجاد حساب کاربری و نصب عامل opatch، که بهطور خودکار اصلاحات را بدون نیاز به راهاندازی مجدد سیستم اعمال میکند، بر روی دستگاههای ویندوز خود نصب کنند.
۰patch فقط میکروپچها را برای ویندوزهای کاربری (Workstation) ارائه میدهد، زیرا تمهای ویندوز بهطور پیشفرض بر روی ویندوز سرور کار نمیکنند مگر اینکه ویژگی Desktop Experience نصب شده باشد.
برای افشای اطلاعات کاربری بر روی یک سرور، کاربر باید فایل تم را فعال کند (دو بار کلیک کند) تا تم اعمال شود، و فقط مشاهده فایل بهتنهایی کافی نیست.
مایکروسافت از وجود یک آسیبپذیری آگاه است و در حال برنامهریزی برای ارائه یک پچ سریع برای آن است تا امنیت مشتریان خود را حفظ کند.
کاربران ویندوز میتوانند بهعنوان جایگزین میکروپچهای ۰patch ، تدابیر امنیتی دیگری را که مایکروسافت ارائه داده است، از جمله اعمال یک سیاست گروهی برای مسدود کردن NTLM hashes، تا زمان در دسترس بودن پچهای رسمی، اجرا کنند.
