Еще в июне 2023 года компания Microsoft официально объявила об отказе от поддержки протокола аутентификации New Technology LAN Manager, который появился в 1993 году в Windows NT 3.1. Она посоветовала пользователям перейти на Windows Negotiate, но, к сожалению, современные уязвимости TLM все еще нацелены на машины от Windows 7/Server 2008 R2 до Windows 11 Version 24H2 и Server 2022, а 0Patch недавно обнаружил новую уязвимость NTLM, которая позволяет перехватить учетные данные при простом просмотре зараженной папки, даже не требуя прямого открытия файла.
В то время как новые версии Windows, например Windows 11, скорее всего, получат обновление для этого эксплойта в ближайшие недели или месяцы, старые версии Windows, например Windows 7, находятся в особой опасности. Windows 10 все еще должна получить патч, но поскольку поддержка 10-й версии заканчивается в октябре следующего года, а для ее продления требуется платный план поддержки, риск того, что подобные проблемы останутся неисправленными в финальном выпуске, только возрастает.
Этот эксплойт нулевого дня для аутентификации NTLM не единственный, о котором 0Patch сообщила Microsoft - 0Patch также упоминает три уязвимости нулевого дня, не связанные с NTLM, и три другие уязвимости, связанные с NTLM, которые «не будут исправлены», в качестве уязвимостей, которые она исправила вместо Microsoft в своем оригинальном сообщении в блоге. Все эти исправления останутся бесплатными до тех пор, пока Microsoft не выпустит свои собственные исправления - а они не будут выпущены для уязвимостей, которые «не будут исправлены», или для версий Windows, которые больше не поддерживаются или на которые распространяется платный план продления поддержки. В прошлом мы уже рассказывали о компании 0Patch как об альтернативе модели поддержки Microsoft.
К счастью, 0Patch отмечает в комментариях к своему официальному сообщению, что атаки, использующие эту конкретную проблему аутентификации NTLM, еще не были замечены в природе. Некоторые существующие решения безопасности могут даже автоматически блокировать подобные проблемы по мере их возникновения - но нет никаких гарантий, что все или даже большинство затронутых пользователей будут иметь такие средства защиты.
Кроме того, собственно патч («микропатч») устраняет только одну уязвимую инструкцию NTLM. Так что в теории его установка должна быть довольно безвредной... но это все же неофициальный патч безопасности, так что вы можете выбирать, что делать, по своему усмотрению. Надеемся, что Microsoft устранит эту и другие уязвимости в официальных обновлениях как можно скорее - если сетевые учетные данные могут быть украдены даже при простом просмотре затронутой папки в File Explorer, это довольно пугающая возможность.
Оригинал
Уникальность
