یک آسیب پذیری روز صفر جدید در ویندوز به مهاجمان این امکان را میدهد تا هشهای NTLM را به سادگی با فریب کاربران در مشاهده یک فایل مخرب در ویندوز اکسپلورر بربایند. این آسیب پذیری که توسط تیم 0patch گزارش شده است، تمام نسخههای ویندوز از ویندوز 7 و ویندوز سرور 2008 R2 تا آخرین نسخه ویندوز یعنی، 11 24H2 و سرور 2022 را تحت تأثیر قرار میدهد.
NTLM، مجموعهای از پروتکلهای امنیتی مایکروسافت است که به منظور احراز هویت کاربران و فراهم کردن دسترسی به منابع شبکه در سیستمهای ویندوزی مورد استفاده قرار میگیرد.
به گفته 0patch، هنوز شناسه CVE به این آسیب پذیری اختصاص نیافته و مایکروسافت نیز هیچگونه پچ رسمی برای آن منتشر نکرده است. از این رو 0patch موظف است تا زمان رفع این باگ توسط مایکروسافت، از انتشار جزئیات فنی این آسیب پذیری روز صفر خودداری کند.
این حمله با مشاهده یک فایل مخرب خاص در File Explorer انجام میشود، به همین دلیل نیاز به باز کردن فایل نخواهد بود و این حمله در واقع یک حمله clickless یا بدون کلیک است.
این آسیب پذیری به یک مهاجم اجازه میدهد تا با دیدن یک فایل مخرب در ویندوز اکسپلورر، هشهای NTLM کاربر را بدست آورد. این هشها قابل کرک و حاوی نام کاربری و رمز عبور کاربر برای لاگین به سیستم میباشند. مایکروسافت یک سال پیش برنامه خود را برای حذف پروتکل احراز هویت NTLM در ویندوز 11 در آینده اعلام کرد.
اخیرا نیز یک آسیب پذیری روز صفر در ویندوز سرور 2012 شناسایی شده است که به هکرها این امکان را میدهد تا مکانیزم امنیتی MOTW را دور بزنند. این آسیب پذیری نیز توسط 0patch کشف شده و بیش از دو سال وجود داشته است و بر روی فایلهای دانلود شده از منابع غیرقابل اطمینان تأثیر میگذارد.
ویندوز به طور خودکار فلگ MOTW را به کلیه اسناد و فایلهای اجرایی دانلود شده از منابع غیررسمی و نامعتبر اضافه میکند. تگهای MOTW به سیستم عامل ویندوز، مایکروسافت آفیس، مرورگرهای وب و سایر برنامهها هشدار میدهند که این فایل باید با احتیاط باز و استفاده شود.
از این رو، به کاربران هشدار داده میشود، باز کردن چنین فایلهایی میتواند منجر به رفتارهای بالقوه خطرناک مانند نصب بدافزار بر روی دستگاه شود و تا جای ممکن از دانلود چنین فایلهایی خودداری گردد. این آسیب پذیری حتی در سرورهای به روزرسانی شده و جدید نیز وجود دارد.
نصب میکرو پچ ارائه شده توسط 0patch
از آنجا که مایکروسافت هنوز هیچ گونه به روزرسانی امنیتی برای آسیب پذیری روز صفر افشای هشهای NTLM ارائه نکرده است؛ 0patch، یک پچ غیررسمی بصورت رایگان منتشر کرده است تا فعلا کاربران ویندوز از این باگ در امان بمانند.
از این رو کاربران میبایست یک اکانت 0patch ایجاد نمایند تا پچ غیررسمی را بصورت اتومات روی سیستم خود دریافت کنند.
کاربرانی که مایل نیستند پچ غیررسمی 0patch را اعمال کنند، میتوانند پروتکل احراز هویت NTLM را توسط یک Group Policy در بخش “Security Settings > Local Policies > Security Options” و پیکربندی پالیسیهای ” Network security: Restrict NTLM ” غیرفعال کند. این امر از طریق اصلاح رجیستری ویندوز نیز امکان پذیر میباشد.
