Ya hay disponibles parches no oficiales gratuitos para una nueva vulnerabilidad de día cero en Temas de Windows que permite a los atacantes robar de forma remota las credenciales NTLM de un objetivo.
NTLM ha sido ampliamente explotado en ataques de retransmisión NTLM, en los que actores maliciosos obligan a los dispositivos de red vulnerables a autenticarse en servidores bajo su control, y en ataques de alimentación hash, en los que explotan vulnerabilidades del sistema o implementan malware para adquirir hashes NTLM (que son hash). . contraseñas) de los sistemas de destino.
Una vez que tienen el hash, los atacantes pueden autenticarse como el usuario comprometido, accediendo así a datos confidenciales y propagándose lateralmente a través de la red ahora comprometida. Hace un año, Microsoft anunció planes para eliminar el protocolo de autenticación NTLM en Windows 11 en el futuro.
Omitir un parche de seguridad incompleto
Los investigadores de ACROS Security descubrieron los nuevos temas de Windows Zero Day (a los que aún no se les ha asignado un ID CVE) mediante el desarrollo de un microparche para un problema de seguridad identificado como CVE-2024-38030 lo que podría filtrar las credenciales de un usuario (encontrado y reportado por Tomer Peled de Akamai), en sí mismo un bypass de otra vulnerabilidad de suplantación de temas de Windows (CVE-2024-21320) arreglado por Microsoft en enero.
“Un atacante tendría que convencer al usuario de que cargue un archivo malicioso en un sistema vulnerable, generalmente a través de un mensaje en un correo electrónico o mensaje de mensajería instantánea, y luego convencer al usuario de que manipule el archivo especialmente diseñado, pero no necesariamente que haga clic o haga clic en . abra el archivo malicioso”, como explica Microsoft en el aviso CVE-2024-21320.
Aunque Microsoft parcheó CVE-2024-38030 en julio, ACROS Security descubrió otro problema que los atacantes podrían aprovechar para robar las credenciales NTLM de un objetivo en todas las versiones completamente actualizadas de Windows, desde Windows 7 hasta Windows 11 24H2.
“Mientras analizaban el problema, nuestros investigadores de seguridad decidieron investigar un poco y encontraron una instancia adicional del mismo problema que todavía estaba presente en todas las versiones completamente actualizadas de Windows, hasta la última versión de Windows 11 24H2”, dijo Mitja, director ejecutivo de Seguridad ACROS. kolsek dicho.
“Entonces, en lugar de simplemente arreglar CVE-2024-38030, creamos una solución más general para los archivos de tema de Windows que cubriría todas las rutas de ejecución que llevan a Windows a enviar una solicitud de red a un host remoto especificado en un tema de archivo simplemente viendo el archivo.
Kolsek compartió una demostración en video (incrustada a continuación), que muestra cómo copiar un archivo de tema de Windows malicioso a un sistema Windows 11 24H2 completamente parcheado (en el lado izquierdo) activa una conexión de red a la máquina de un atacante, exponiendo las credenciales NTLM del usuario que inició sesión.
Microparches gratuitos y no oficiales disponibles
La empresa ahora ofrece parches de seguridad gratuitos y no oficiales para este error de día cero a través de su Servicio de microparche 0patch para todas las versiones de Windows afectadas hasta que los parches oficiales estén disponibles de Microsoft, que ya se han aplicado a todos los sistemas Windows en línea que ejecutan el agente 0patch de la compañía.
“Como se trata de una vulnerabilidad de día 0 para la cual no hay ningún parche oficial disponible, proporcionamos nuestros microparches de forma gratuita hasta que dicho parche esté disponible”, dijo Kolsek.
Para instalar el microparche en su dispositivo Windows, crear una cuenta 0patch e instalarlo 0 agente de parche. Una vez que se inicia el agente, el microparche se aplicará automáticamente sin necesidad de reiniciar el sistema si no existe una política de parche personalizada para bloquearlo.
Sin embargo, es importante tener en cuenta que en este caso 0patch solo proporciona microparches para Windows Workstation, porque los temas de Windows no funcionan en Windows Server hasta que se instala la función Desktop Experience.
“Además, para que ocurra una fuga de credenciales en un servidor, no es suficiente ver un archivo de tema en el Explorador de Windows o en el escritorio; más bien, es necesario hacer doble clic en el archivo y aplicar el tema”, agregó Kolsek.
Si bien Microsoft le dijo a BleepingComputer que estaba “al tanto de este informe y tomará las medidas necesarias para ayudar a proteger a los clientes” cuando se le preguntó sobre el cronograma para un parche, el Centro de Respuesta de Seguridad de Microsoft le dijo a Kolsek que “tiene la intención de corregir este problema tan pronto como sea posible”. posible.” lo más posible.”
Los usuarios de Windows que deseen una alternativa a los microparches de 0patch hasta que estén disponibles las correcciones oficiales también pueden aplicar las mitigaciones proporcionadas por Microsoft, incluida la aplicación de una Política de grupo que bloquea los hashes NTLM, como se detalla en el Aviso CVE-2024-21320.