Saldırganların bir hedefin NTLM kimlik bilgilerini uzaktan çalmasına olanak tanıyan yeni bir Windows Temaları sıfır gün güvenlik açığı için artık ücretsiz resmi olmayan yamalar mevcut.
NTLM, tehdit aktörlerinin savunmasız ağ cihazlarını kendi kontrolleri altındaki sunucularda kimlik doğrulaması yapmaya zorladığı NTLM geçiş saldırılarında ve sistem açıklarından yararlandıkları veya NTLM karmalarını (karmalanmış) elde etmek için kötü amaçlı yazılım dağıttıkları karma geçiş saldırılarında kapsamlı bir şekilde istismar edilmiştir. şifreler) hedeflenen sistemlerden.
Hash’i ele geçirdikten sonra saldırganlar, güvenliği ihlal edilmiş kullanıcı olarak kimliklerini doğrulayabilir, hassas verilere erişebilir ve güvenliği ihlal edilmiş ağ üzerinde yanal olarak yayılabilir. Bir yıl önce Microsoft, gelecekte Windows 11’deki NTLM kimlik doğrulama protokolünü kaldırmayı planladığını duyurdu.
Eksik güvenlik yamasını atla
ACROS Güvenlik araştırmacıları, CVE-2024-38030 olarak takip edilen ve kullanıcının kimlik bilgilerini sızdırabilecek bir güvenlik sorunu için bir mikro yama geliştirirken yeni Windows Temaları sıfırıncı günü (henüz bir CVE kimliği atanmamış) keşfetti (Akamai’nin Tomer’i tarafından bulundu ve rapor edildi). Peled), Ocak ayında Microsoft tarafından yamalanan başka bir Windows Temaları kimlik sahtekarlığı güvenlik açığına (CVE-2024-21320) yönelik bir bypasstır.
“Saldırganın kullanıcıyı, genellikle bir E-posta veya Anlık Mesajlaşma mesajındaki bir ikna yoluyla, güvenlik açığı bulunan bir sisteme kötü amaçlı bir dosya yüklemeye ikna etmesi ve ardından kullanıcıyı özel hazırlanmış dosyayı değiştirmeye ikna etmesi gerekir; ancak bu, mutlaka veya tıklamak zorunda değildir. Microsoft’un CVE-2024-21320 danışma belgesinde açıkladığı gibi, kötü amaçlı dosyayı açın.”
Microsoft, Temmuz ayında CVE-2024-38030 düzeltme ekini yayınlamış olsa da ACROS Security, saldırganların Windows 7’den Windows 11 24H2’ye kadar tamamen güncellenmiş tüm Windows sürümlerinde bir hedefin NTLM kimlik bilgilerini çalmak için yararlanabileceği başka bir sorun tespit etti.
ACROS Güvenlik CEO’su Mitja, “Sorunu analiz ederken, güvenlik araştırmacılarımız biraz etrafa bakmaya karar verdi ve şu anda en son Windows 11 24H2’ye kadar tamamen güncellenmiş tüm Windows sürümlerinde hala mevcut olan aynı sorunun ek bir örneğini buldu.” Kolsek dedi.
“Dolayısıyla, yalnızca CVE-2024-38030’u düzeltmek yerine, Windows’un yalnızca dosyayı görüntüledikten sonra bir tema dosyasında belirtilen uzak ana bilgisayara bir ağ isteği göndermesine yol açan tüm yürütme yollarını kapsayan, Windows tema dosyaları için daha genel bir düzeltme eki oluşturduk. “
Kolsek, kötü amaçlı bir Windows tema dosyasının tamamen yamalı bir Windows 11 24H2 sistemine (sol tarafta) kopyalanmasının, saldırganın makinesine bir ağ bağlantısını nasıl tetiklediğini ve oturum açmış kullanıcının NTLM kimlik bilgilerini açığa çıkardığını gösteren bir video demosu paylaştı (aşağıya yerleştirilmiş).
Ücretsiz ve resmi olmayan mikro yamalar mevcut
Şirket artık, şirketin 0patch aracısını çalıştıran tüm çevrimiçi Windows sistemlerine zaten uygulanmış olan Microsoft’tan resmi düzeltmeler elde edilene kadar, etkilenen tüm Windows sürümleri için 0patch mikro yama hizmeti aracılığıyla bu sıfır gün hatası için ücretsiz ve resmi olmayan güvenlik yamaları sağlıyor.
Kolsek, “Bu, resmi bir satıcı düzeltmesi bulunmayan ‘0 günlük’ bir güvenlik açığı olduğundan, bu tür bir düzeltme mevcut olana kadar mikro yamalarımızı ücretsiz olarak sağlıyoruz” dedi.
Mikro yamayı Windows cihazınıza yüklemek için bir 0patch hesabı oluşturun ve 0patch aracısını yükleyin. Aracı başlatıldığında, onu engelleyecek özel bir yama politikası yoksa mikro yama, sistemin yeniden başlatılmasına gerek kalmadan otomatik olarak uygulanacaktır.
Ancak bu durumda 0patch’in yalnızca Windows Workstation için mikro yamalar sağladığını, çünkü Windows Temalarının Masaüstü Deneyimi özelliği yüklenene kadar Windows Server’da çalışmadığını unutmamak önemlidir.
Kolsek, “Ayrıca, bir sunucuda kimlik bilgilerinin sızması için bir tema dosyasını yalnızca Windows Gezgini’nde veya masaüstünde görüntülemek yeterli değildir; bunun yerine tema dosyasına çift tıklanması ve temanın bu şekilde uygulanması gerekir.” diye ekledi.
Microsoft, BleepingComputer’a yama zaman çizelgesi sorulduğunda “bu rapordan haberdar olduklarını ve müşterilerin korunmasına yardımcı olmak için gerektiği şekilde harekete geçeceklerini” söylerken, Microsoft Güvenlik Yanıt Merkezi Kolsek’e “bu sorunu en kısa sürede yamalamayı tamamen planladıklarını” söyledi. mümkün olduğu kadar.”
Resmi yamalar mevcut olana kadar 0patch’in mikro yamalarına alternatif isteyen Windows kullanıcıları, CVE-2024-21320 danışma belgesinde ayrıntılı olarak açıklandığı gibi NTLM karmalarını engelleyen bir grup ilkesinin uygulanması da dahil olmak üzere Microsoft tarafından sağlanan hafifletme önlemlerini de uygulayabilirler.