从Windows 7到目前的Windows 11版本的所有Windows客户端都存在一个0-day漏洞,该漏洞可能允许攻击者从受影响系统的用户那里捕获NTLM身份验证哈希。
ACROS Security的研究人员本周向微软报告了这个漏洞。他们在为CVE-2024-38030编写补丁时发现了这个问题,CVE-2024-38030是一个中等严重性的Windows主题仿冒漏洞,微软在其7月的 security update 中对其进行了缓解。
之前两个漏洞的变种
ACROS发现的这个漏洞与CVE-2024-38030非常相似,它实现了一种称为身份验证强制攻击的方式,易受攻击的设备实质上被诱使向攻击者的系统发送NTLM哈希——用户密码的加密表示。Akamai的研究员Tomer Peled在分析微软针对CVE-2024-21320的修复方案时发现了CVE-2024-38030,CVE-2024-21320是另一个更早的Windows主题仿冒漏洞,他发现了这个问题并报告给了微软。ACROS发现的是一个与Peled之前报告的两个漏洞相关的新漏洞。
Windows主题文件允许用户通过壁纸、屏幕保护程序、颜色和声音自定义Windows桌面界面的外观。Akamai研究员Peled发现的这两个漏洞都与主题处理到“BrandImage”或“Wallpaper”这两个图像资源的文件路径的方式有关。Peled发现,由于验证不当,攻击者可以操纵到这些资源的合法路径,以致使Windows自动发送带有用户NTLM哈希的经过身份验证的请求到攻击者的设备。
正如Peled向《Dark Reading》解释的那样,“主题文件格式是一个.ini文件,带有多个’键,值’对。我最初发现了两个可以接受文件路径的键,值对。”
最初的漏洞(CVE-2024-21320)源于这样一个事实:键,值对接受了UNC路径——用于识别网络资源(如共享文件和文件夹)的一种标准化格式——用于网络驱动器,Peled指出。“这意味着一个带有UNC路径的武器化主题文件可以触发带有用户身份验证的外出连接,而他们却不知道。”微软通过在文件路径上添加一个检查来确保它不是一个UNC路径来修复了这个问题。但是,Peled说,微软用于这种验证的函数允许一些绕过,这就是Peled发现第二个漏洞(CVE-2024-38030)的原因。
微软将“按需”采取行动
ACROS Security本周报告的问题是第三个根植于同一文件路径问题的Windows主题仿冒漏洞。“我们的研究人员在10月初为CVE-2024-38030编写补丁时发现了这个漏洞,目的是为我们许多用户仍在使用的旧版Windows系统提供补丁,”ACROS Security的首席执行官Mitja Kolsek说。“我们于2024年10月28日将此问题报告给了微软,但我们没有发布详细信息或概念验证,我们计划在微软公开提供他们自己的补丁后这样做。”
微软的一位发言人通过电子邮件表示,公司意识到了ACROS的报告,并将“按需”采取行动,以帮助保护客户。该公司似乎还没有为这个新问题发布CVE(漏洞标识符)。
与Akamai发现的两个之前的Windows主题仿冒漏洞一样,ACROS发现的这个新漏洞也不需要攻击者具备任何特殊权限。“但是他们必须以某种方式让用户将主题文件复制到他们电脑上的其他文件夹,然后用显示图标的视图打开该文件夹,”Kolsek说。“当用户访问攻击者的网站时,该文件也可能自动下载到他们的下载文件夹,在这种情况下,攻击者将不得不等待用户稍后查看下载文件夹。”
Kolsek建议组织尽可能禁用NTLM,但承认这样做可能会导致依赖它的任何网络组件出现功能问题。“攻击者只能成功攻击启用NTLM的计算机。”他说。“另一个要求是由恶意主题文件发起的请求能够到达攻击者在互联网或相邻网络上的服务器,这是防火墙通常应该阻止的,”他指出。因此,攻击者更可能在有针对性的活动中利用这个漏洞,而不是在大规模利用中。
Akamai的Peled说,在没有技术细节的情况下很难知道ACROS的漏洞是什么。“但这可能又是另一个绕过检查的UNC绕过,或者可能是在原始修补过程中遗漏了另一个键,值对。”他说。“UNC路径格式非常复杂,允许奇怪的组合,这使得检测它们非常困难。这可能就是为什么修复如此复杂的原因。”