Saldırganların, hedefi Windows Gezgini’nde kötü amaçlı bir dosyayı görüntülemesi için kandırarak NTLM kimlik bilgilerini ele geçirmesine olanak tanıyan yeni bir sıfır gün güvenlik açığı keşfedildi.
Kusur, kullanım ömrü sona eren Windows sürümleri için resmi olmayan destek sağlayan bir platform olan 0patch ekibi tarafından keşfedildi ve Microsoft’a bildirildi. Ancak henüz resmi bir düzeltme yayınlanmadı.
0patch’e göre, şu anda CVE kimliği bulunmayan sorun, Windows 7 ve Server 2008 R2’den en son Windows 11 24H2 ve Server 2022’ye kadar tüm Windows sürümlerini etkiliyor.
Tıklamasız bir istismar
0patch, sıfır gün güvenlik açığının teknik ayrıntılarını Microsoft, vahşi doğada aktif istismarın körüklenmesini önlemek için resmi bir düzeltme sağlayana kadar gizli tuttu.
Araştırmacılar, saldırının özel hazırlanmış kötü amaçlı bir dosyayı Dosya Gezgini’nde görüntüleyerek çalıştığını, dolayısıyla dosyanın açılmasına gerek olmadığını açıkladı.
“Güvenlik açığı bir saldırganın [the] 0patch şöyle açıklıyor: “Kullanıcının kötü amaçlı bir dosyayı Windows Gezgini’nde görüntülemesini sağlayarak (örneğin, söz konusu dosyanın bulunduğu paylaşılan bir klasörü veya USB diski açarak ya da söz konusu dosyanın daha önce saldırganın web sayfasından otomatik olarak indirildiği İndirilenler klasörünü görüntüleyerek) kullanıcının NTLM kimlik bilgilerini elde edebilirsiniz.” .
0Patch bu güvenlik açığıyla ilgili daha fazla ayrıntı paylaşmasa da BleepingcComputer, uzak bir paylaşıma giden NTLM bağlantısını zorladığının farkında. Bu, Windows’un oturum açmış kullanıcı için otomatik olarak saldırganın çalabileceği NTLM karmalarını göndermesine neden olur.
Tekrar tekrar gösterildiği gibi, bu karmalar kırılarak tehdit aktörlerinin oturum açma adlarına ve düz metin parolalara erişmesine olanak sağlanabilir. Microsoft bir yıl önce gelecekte Windows 11’deki NTLM kimlik doğrulama protokolünü kaldırmayı planladığını duyurmuştu.
0patch, bunun yakın zamanda Microsoft’a bildirdikleri ve satıcının derhal harekete geçmediği üçüncü sıfır gün güvenlik açığı olduğunu belirtiyor.
Diğer ikisi, Windows Server 2012’de geçen ayın sonlarında açıklanan Web İşareti (MotW) bypass’ı ve Ekim ayı sonlarında açıklanan, uzaktan NTLM kimlik bilgileri hırsızlığına izin veren Windows Temaları güvenlik açığıdır. Her iki sorun da çözülmeden kalıyor.
0patch, PetitPotam, PrinterBug/SpoolSample ve DFSCoerce gibi geçmişte açıklanan diğer NTLM hash açıklama kusurlarının en son Windows sürümlerinde resmi bir düzeltme olmadan kaldığını ve kullanıcılara yalnızca 0patch tarafından sağlanan mikro yamaların kaldığını söylüyor.
Mikro yama kullanılabilirliği
0patch, Microsoft’tan resmi bir düzeltme gelene kadar, keşfettiği en son sıfır gün için mikro yamasını platformunda kayıtlı tüm kullanıcılara ücretsiz olarak sağlayacak.
PRO ve Enterprise hesapları, yapılandırmaları bunu açıkça engellemediği sürece güvenlik mikro yamasını zaten otomatik olarak almıştır.
Yamayı almak için 0patch Central’da ücretsiz bir hesap oluşturun, ücretsiz deneme başlatın ve ardından aracıyı yükleyin ve uygun mikro yamaları otomatik olarak uygulamasına izin verin. Yeniden başlatma gerekmez.
0patch tarafından sağlanan resmi olmayan yamayı uygulamak istemeyen kullanıcılar, NTLM kimlik doğrulamasını ‘Güvenlik Ayarları > Yerel Politikalar > Güvenlik Seçenekleri’ndeki Grup İlkesi ile kapatmayı ve “Ağ güvenliği: NTLM’yi Kısıtla” politikalarını yapılandırmayı düşünebilir. Aynı şey kayıt defteri değişiklikleriyle de yapılabilir.
BleepingComputer Microsoft’la temasa geçerek kusuru ve bu kusuru giderme planlarını sordu ancak biz hâlâ bir yanıt bekliyoruz.