В Windows была обнаружена уязвимость, которая позволяет злоумышленникам похищать хеши паролей NTLM без какого-либо участия юзеров. Воспользоваться проблемой довольно легко – для осуществления атаки никакие особые технические навыки не нужны.
Все, что нужно для кражи пароля – это добавить вредоносный SCF-файл в общедоступную папку Windows. После добавления в папку файл выполняется, собирает хеши паролей NTLM* и отправляет их на подконтрольный преступникам сервер.
С помощью легкодоступного ПО злоумышленники могут взломать хеш и получить доступ к компьютерам жертв. Получив непосредственный доступ к сети, где находится атакуемый компьютер, хакеры способны эскалировать доступ к соседним системам.
Проблема не касается общих папок с парольной защитой. Так как пароль является в Windows опцией по умолчанию, многим пользователям нечего опасаться. Однако, в компаниях, школах и других организациях для удобства пользования общие папки паролем не защищены, что делает их уязвимыми.
Уязвимость была обнаружена колумбийским исследователем безопасности Хуаном Диего. В апреле этого года Диего сообщил о проблеме компании Microsoft, после чего – в октябре – в рамках плановых обновлений компания выпустила патч. Однако исправление предназначено только для Windows 10 и Windows Server 2016. Прочие версии ОС остаются уязвимыми, так как модификации реестра не совместимы с более ранними версиями Windows Firewall.
Как сообщил Диего порталу Bleeping Computer, выпущенный компанией-разработчиком бюллетень ADV170014 действительно исправляет проблему, однако исследователь так и не смог определить причину ее появления. “Атака осуществляется автоматически. Причина, делающая ее возможной, до сих пор мне не ясна. Microsoft хранит все в большом секрете», – отметил исследлователь.
_______________________________________________________________________________________
*NTLM (NT LAN Manager) – протокол сетевой аутентификации, разработанный фирмой Microsoft для Windows NT.
Источник: securitylab.ru