Nova identična ranjivost Windows Theme Zero-Day Neka napadači ukradu kredencijale, ranjivost koja može omogućiti napadačima da dobiju NTLM kredencijale narušenih sistema dok popravljaju CVE-2024-38030, problem lažiranja Windows tema srednje ozbiljnosti.
Istraživači Acros Security-a su izvijestili da iako je Microsoft nedavno izdao zakrpu ( CVE-2024-38030 ) za rješavanje povezanog problema, rizik nije u potpunosti smanjen.
Greška utiče na nekoliko Windows platformi, uključujući najnoviju verziju Windowsa 11 (24H2), što može izložiti veliki broj korisnika.
Ranjivost Windows Teme Zero-Day
Tomer Peled, istraživač sigurnosti u Akamai-u, odlučio je da istraži fajlove Windows tema prošle godine.
Otkrili su da kada datoteka teme specificira putanju mrežne datoteke za neka svojstva teme (naime BrandImage i Wallpaper), Windows automatski šalje provjerene mrežne zahtjeve udaljenim domaćinima, uključujući korisnike.
To je značilo da bi datoteka maliciozne teme postavljena na radnu površinu ili navedena u fascikli bila dovoljna za curenje korisničkih kredencijala bez ikakvih daljih aktivnosti korisnika.
Microsoft je rešio ovaj problem tri meseca nakon što je primio tužbu (CVE-2024-21320). Istraživači su zatim razvili zakrpe za Windows računare koji više nisu primali Windows ažuriranja nakon što su informacije o ranjivosti otkrivene.
Tomer je zatim ispitao Microsoftovu zakrpu i otkrio da koristi funkciju PathIsUNC da odredi da li je određena staza u datoteci teme mrežna ruta i, ako jeste, zanemario je.
Ovo je trebalo zaustaviti curenje NTLM akreditiva da nije bilo Jamesa Forshawa, koji je 2016. detaljno opisao nekoliko metoda zaobilaženja PathIsUNC-a.
Tomer je otkrio da se metode koje je James spomenuo mogu koristiti za zaobilaženje Microsoftove CVE-2024-21320 zakrpe. Za ovo je prijavio Microsoft kako bi mogli ponovo pokušati. Microsoft je popravio zakrpu i pripisao novi problem CVE-2024-38030.
“Dok su analizirali problem, naši istraživači sigurnosti su odlučili malo pogledati okolo i pronašli dodatnu instancu istog problema koji je još uvijek bio prisutan na svim potpuno ažuriranim verzijama Windowsa, do trenutno najnovijeg Windows 11 24H2”, rekli su istraživači.
Stoga su istraživači kreirali sveobuhvatniju zakrpu za datoteke Windows tema koja bi adresirala sve puteve izvršavanja koje rezultiraju da Windows šalje mrežni zahtjev udaljenom hostu naznačenom u datoteci teme samo ispitivanjem datoteke.
Uz njihovu uslugu micropatch, korisnici 0patch su već zaštićeni od ovog 0day. Budući da trenutno ne postoji zvanična ispravka dobavljača za ovu ranjivost „0 dana“, 0patch nudi mikrozakrpe besplatno dok takva ispravka ne postane dostupna.
Mikrozakrpe su kreirane za sve trenutno podržane verzije Windowsa sa instaliranim svim dostupnim ažuriranjima za Windows, kao i za sigurnosno usvojene naslijeđene verzije Windows radne stanice:
Naslijeđene verzije Windowsa:
- Windows 11 v21H2 – potpuno ažuriran
- Windows 10 v21H2 – potpuno ažuriran
- Windows 10 v21H1 – potpuno ažuriran
- Windows 10 v20H2 – potpuno ažuriran
- Windows 10 v2004 – potpuno ažuriran
- Windows 10 v1909 – potpuno ažuriran
- Windows 10 v1809 – potpuno ažuriran
- Windows 10 v1803 – potpuno ažuriran
- Windows 7 – potpuno ažuriran bez ESU, ESU 1, ESU 2 ili ESU 3
Verzije Windowsa koje i dalje primaju Windows Updates:
- Windows 10 v22H2 – potpuno ažuriran
- Windows 11 v22H2 – potpuno ažuriran
- Windows 11 v23H2 – potpuno ažuriran
- Windows 11 v24H2 – potpuno ažuriran
“Imajte na umu da su zakrpe kreirane samo za Windows Workstation, ali ne i za Windows Server.
Istraživači objašnjavaju da „da bi Windows teme radile na serveru, mora biti instalirana funkcija Desktop Experience (nije podrazumevano).“
Izvor: CyberSecurityNews
