Một lỗ hổng zero-day mới đã được phát hiện, cho phép kẻ tấn công thu thập thông tin xác thực NTLM chỉ bằng cách lừa mục tiêu xem một tệp độc hại trong Windows Explorer. Lỗ hổng này được phát hiện bởi nhóm 0patch, một nền tảng cung cấp hỗ trợ không chính thức cho các phiên bản Windows đã hết hạn, và đã được báo cáo cho Microsoft. Tuy nhiên, hiện tại vẫn chưa có bản vá chính thức nào được phát hành.

Chi tiết về lỗ hổng

Phạm vi ảnh hưởng: Lỗ hổng này ảnh hưởng đến tất cả các phiên bản Windows từ Windows 7 và Server 2008 R2 cho đến Windows 11 24H2 và Server 2022.
Cách thức tấn công: Kẻ tấn công có thể thu thập thông tin xác thực NTLM của người dùng chỉ bằng cách khiến họ xem một tệp độc hại trong Windows Explorer, ví dụ như mở một thư mục chia sẻ hoặc ổ USB có chứa tệp đó, hoặc xem thư mục Tải xuống nơi tệp đã được tải xuống tự động từ trang web của kẻ tấn công.
Hậu quả: Khi người dùng xem tệp, Windows sẽ tự động gửi các băm NTLM của người dùng đã đăng nhập đến một chia sẻ từ xa, cho phép kẻ tấn công đánh cắp chúng. Những băm này có thể bị bẻ khóa, cho phép kẻ tấn công truy cập vào tên đăng nhập và mật khẩu dạng văn bản.

Khuyến nghị

Microsoft: Hiện vẫn chưa có phản hồi từ Microsoft về lỗ hổng này và kế hoạch xử lý nó.
Người dùng không muốn áp dụng bản vá không chính thức từ 0patch có thể xem xét tắt xác thực NTLM bằng cách sử dụng Group Policy trong 'Security Settings > Local Policies > Security Options', và cấu hình các chính sách "Network security: Restrict NTLM". Điều này cũng có thể được thực hiện thông qua các sửa đổi trong registry.

Lỗ hổng này là một trong ba lỗ hổng zero-day gần đây mà 0patch đã báo cáo cho Microsoft nhưng chưa được xử lý ngay lập tức. Các lỗ hổng khác bao gồm lỗ hổng bỏ qua Mark of the Web (MotW) trên Windows Server 2012 và lỗ hổng Windows Themes cho phép đánh cắp thông tin xác thực NTLM từ xa.

Lỗ hổng zero-day trên Windows: Nguy cơ lộ thông tin NTLM

Chi tiết về lỗ hổng

Khuyến nghị

Tham khảo

Subscribe to my newsletter

Đinh Văn Mạnh

Đinh Văn Mạnh