Оффлайн
Tihon74
Заблокирован
- Регистрация
- 25.06.17
- Сообщения
- 2.588
- Реакции
- 71
- Репутация
- 157
Для эксплуатации уязвимости достаточно лишь добавить вредоносный SCF-файл в общедоступную папку Windows.
Уязвимость в Windows позволяет злоумышленникам похищать хеши паролей NTLM без какого-либо участия пользователя. Проэксплуатировать уязвимость довольно легко, и для осуществления атаки не нужны особые технические навыки. Все, что нужно – добавить вредоносный SCF-файл в общедоступную папку Windows.
После добавления в папку файл выполняется, а затем собирает хеши паролей NTLM и отправляет их на подконтрольный злоумышленникам сервер. С помощью легкодоступного ПО атакующие могут взломать хеш и получить доступ к компьютерам жертв. Получив непосредственный доступ к сети, где находится атакуемый компьютер, хакеры способны эскалировать доступ к соседним системам.
Проблема не затрагивает общие папки с парольной защитой. Поскольку пароль является в Windows опцией по умолчанию, многим пользователям нечего опасаться. Тем не менее, в компаниях, школах и других организациях для удобства пользования общие папки паролем не защищены, что делает их уязвимыми.
Уязвимость была обнаружена колумбийским исследователем безопасности Хуаном Диего (Juan Diego). В апреле текущего года Диего сообщил Microsoft о проблеме, и в октябре компания выпустила патч в рамках плановых обновлений. Однако исправление предназначено только для Windows 10 и Windows Server 2016. Остальные версии ОС остаются уязвимыми, поскольку модификации реестра не совместимы с более ранними версиями Windows Firewall.
Как сообщил Диего порталу Bleeping Computer, выпушенный Microsoft бюллетень ADV170014 действительно исправляет проблему, однако исследователь так и не смог определить причину ее появления. «Атака осуществляется автоматически. Причина, делающая ее возможной, до сих пор мне не ясна. Microsoft хранит все в большом секрете», - отметил Диего.
NTLM (NT LAN Manager) – протокол сетевой аутентификации, разработанный фирмой Microsoft для Windows NT.