В составе октябрьского «вторника обновлений» компания Microsoft представила исправление для опасной уязвимости, которая позволяет похищать хеши NTLM-паролей без всякого взаимодействия с пользователем (бюллетень ADV170014). Однако пока уязвимость устранена только в Windows 10 и Server 2016, а обнаруживший баг колумбийский ИБ-специалист Хуан Диего (Juan Diego) до сих пор не сумел разобраться, что именно приводит к возникновению проблемы.
Эксплуатация уязвимости осуществляется очень просто и не требует никакой технической подготовки и знаний. Атакующему достаточно поместить вредоносный файл SCF (Shell Command File) в публично доступную директорию Windows. После этого, благодаря некоему загадочному багу, файл будет выполнен, произведет сбор NTLM хеша и отправит собранные данные на сервер злоумышленника. После этого атакующему останется только взломать полученный хеш.
К счастью, для большинства пользователей такие атаки не представляют угрозы. Дело в том, что по умолчанию публичные папки в Windows защищены паролем, а наличие пароля сразу ставит на атаке крест. Тем не менее, в своем блоге Диего отмечает, что во многих школах, публичных сетях и на предприятиях пароли для публичных директорий не устанавливаются. К тому же, патчи доступны лишь для пользователей Windows 10 и Windows Server 2016, тогда как другие версии ОС по-прежнему уязвимы.
При этом Диего до сих пор не может понять, как именно работает данный баг. Исследователь подробно объяснил журналистам Bleeping Computer, что файлы SCF поддерживают ограниченный набор команд для Windows Explorer (к примеру, открытие окна Windows Explorer или переход на Рабочий стол — Show Desktop). Но если ранее атаки с использованием SCF предполагали, что баг сработает, когда жертва откроет целевую папку, то на этот раз Диего обнаружил, что вредоносная команда из файла SCF срабатывает сразу после помещения вредоноса в директорию. То есть злоумышленнику даже не нужно ждать, когда пользователь откроет нужную общую папку.
«Данная атака срабатывает автоматически. Но лежащая в основе проблема, которая ее провоцирует, до сих пор мне неизвестна. Microsoft скрытничает на этот счет», — говорит специалист.
Более того, по словам исследователя, выпущенный в этой месяце патч вообще не исправляет автоматическое исполнение SCF как таковое, он скорее был адресован старой, давно известной проблеме Pass-the-hash, которая позволяет автоматически поделиться NTLM-хешем с удаленным сервером.
Диего сообщает, что уже работает над другими способами эксплуатации уязвимости. И хотя в классификации Microsoft бюллетень ADV170014 носит рекомендательный, а не обязательный характер, исследователь настоятельно рекомендует пользователям не пренебрегать этими патчами и обновиться.