Một lỗ hổng zero-day mới được phát hiện trên tất cả các phiên bản Windows, bao gồm cả phiên bản đã ngừng hỗ trợ, cho phép kẻ tấn công đánh cắp thông tin xác thực NTLM của người dùng chỉ bằng cách xem tệp độc hại trong Windows Explorer. Lỗ hổng này đã được các nhà nghiên cứu tại 0patch phát hiện và công bố, với cảnh báo rằng nguy cơ khai thác trên diện rộng là rất lớn.

Lỗ hổng này hoạt động bằng cách khai thác tính năng hiển thị tệp trong Windows Explorer. Chỉ cần người dùng mở một thư mục được chia sẻ, ổ USB chứa tệp độc hại hoặc thậm chí xem thư mục "Downloads" (tải xuống) nơi tệp độc hại tự động tải về từ trang web của kẻ tấn công, thông tin xác thực NTLM của họ có thể bị rò rỉ.

1. Phạm vi ảnh hưởng

Lỗ hổng ảnh hưởng đến tất cả các phiên bản Windows, bao gồm:

- Windows Workstation: từ Windows 7 đến Windows 11 phiên bản 24H2.

- Windows Server: từ Server 2008 R2 đến Server 2022.

Cụ thể:

- Windows vẫn nhận bản cập nhật: Windows 10, Windows 11, Server 2016/2019/2022.

- Windows đã ngừng hỗ trợ: Windows 7, Server 2008 R2, Server 2012, v.v., bao gồm cả các phiên bản được mở rộng hỗ trợ (ESU).

2. Chi tiết kỹ thuật

Lỗ hổng cho phép kẻ tấn công thu thập băm NTLM thông qua việc hiển thị tệp độc hại trong Windows Explorer. NTLM hash thu được có thể được sử dụng để:

- Thực hiện tấn công brute-force hoặc pass-the-hash để truy cập tài khoản người dùng.

- Leo thang đặc quyền trong mạng nội bộ.

3. Khuyến nghị

Triển khai biện pháp bảo mật bổ sung:

- Kích hoạt xác thực đa yếu tố (MFA): Giảm thiểu rủi ro nếu thông tin NTLM bị rò rỉ.

- Tắt NTLM trong mạng nội bộ: Sử dụng Kerberos thay thế nếu có thể.

- Giám sát lưu lượng mạng: Phát hiện các hoạt động bất thường liên quan đến xác thực NTLM.

- Cập nhật phần mềm bảo mật: Đảm bảo hệ thống được bảo vệ bởi các công cụ chống phần mềm độc hại và tường lửa.

4. Tham khảo

URL File NTLM Hash Disclosure Vulnerability (0day) - and Free Micropatches for it

Critical Zero-Day Vulnerability in Windows Exposes User Credentials

-

Duy An - Trung tâm CNTT&TT