Уразливості NTLM: загроза для безпеки Windows
Важливо: Хоча кіберзлочинці швидко використовують небезпечні вразливості в безпеці, Microsoft часто повільно випускає оновлення для виправлення цих проблем. Сервіси третьої сторони, такі як 0patch, пропонують альтернативний спосіб захисту робочих станцій Windows, зокрема тих, що використовують застарілі версії операційної системи.
Нова уразливість в NTLM: що потрібно знати
Дослідники з 0patch виявили нову нульову вразливість в технології NTLM Microsoft, що є серйозною проблемою для безпеки користувацьких даних. Цей баг може легко скомпрометувати облікові дані користувачів. Уразливість стосується всіх версій Windows Server та Workstation, починаючи з Windows 7 і Server 2008 R2 до останніх, повністю оновлених версій Windows 11 24H2 та Server 2022. Microsoft ще не надала офіційне виправлення для цієї проблеми.
Оновлення (11 грудня): Цього тижня Microsoft випустила виправлення для 71 вразливості в рамках оновлення Patch Tuesday, серед яких є одна, що вже активно експлуатується. Проте, жодне з цих виправлень не вирішує проблему з нульовою уразливістю в NTLM, про яку повідомив 0patch.
Оновлення Patch Tuesday та його вплив
Це останнє оновлення Patch Tuesday 2024 року, яке виправляє вразливості в різних додатках і сервісах Microsoft. З 71 проблеми, 16 класифіковані як «критичні», більшість решти оцінені як «високий ризик». Одна з вразливостей Windows вже є мішенню реальних атак, тому необхідно терміново застосувати це оновлення.
Механізм атаки через NTLM
Уразливість дозволяє зловмисникам красти NTLM-облікові дані, примушуючи користувачів відкривати спеціально створений файл у Windows Explorer. Вчені пояснюють, що вразливі системи можна скомпрометувати, просто відкривши спільну папку, USB-накопичувач або переглянувши шкідливий файл, завантажений з веб-браузера.
NTLM: небезпека застарілих протоколів
New Technology LAN Manager (NTLM) – це старий і дуже ненадійний набір протоколів, який використовується системами Windows для аутентифікації користувачів та забезпечення конфіденційності. Дослідники попереджають, що паролі NTLM є слабкими і можуть бути легко зламані за допомогою сучасного апаратного забезпечення, яке добре справляється з обчислювальними задачами.
Рішення від 0patch: мікропатчі для захисту
Дослідники звітували про нову проблему Microsoft, але також випустили мікропатч для клієнтів компанії, щоб швидко та прозоро виправити вразливість. Патчі, випущені 0patch, є мікроскопічними бінарними змінами процесів, що працюють в пам’яті, тому вони не потребують перезавантаження процесу чи операційної системи.
Мікропатч для нульової вразливості NTLM залишатиметься безкоштовним до того часу, поки Microsoft не надасть офіційне виправлення. Цей патч є третім виявленим і повідомленим 0patch щодо нульової уразливості, яку Microsoft проігнорувала. Крім того, є ще три інші раніше розкриті проблеми, пов’язані з NTLM, для яких 0patch також пропонує безкоштовні оновлення.
Підтримка 0patch для старих версій Windows
Компанія повідомила, що 40% її користувачів наразі використовують 0patch для захисту своїх систем від проблем у категорії «не буде виправлено», а інші користувачі встановлюють ці мікропатчі на своїх застарілих системах Windows та версіях Office. 0patch продовжує надавати підтримку для Windows 7 та надасть п’ять додаткових років патчів безпеки для Windows 10 після жовтня 2025 року.