Zero-day kwetsbaarheid in meerdere Windows-versies
Onderzoekers van beveiligingsbedrijf 0patch hebben een kwetsbaarheid ontdekt in meerdere Windows-versies waarbij hashes van credentials van gebruikers kunnen lekken door alleen een speciaal gemaakt bestand te openen. Deze hashes kunnen vervolgens gekraakt worden door de verouderde encryptie in het NTLM-protocol.
Zero-day
Een zero-day is een kwetsbaarheid die is ontdekt maar waarvoor er nog geen officiële patch beschikbaar is. Hiermee worden vaak nieuwe lekken aangeduid die nog actief misbruikt kunnen worden.
Het lekken van hashes
Door een speciaal gefabriceerd bestand op de machine (PC of server) te plaatsen of door de gebruiker deze te laten downloaden kunnen kwaadwillenden met dit lek Windows de hashes van gebruikers laten lekken.
Hashes zijn in feite de versleutelde wachtwoorden, maar door de verouderde encryptiestandaarden in het NTLM-protocol kunnen deze vrij eenvoudig worden gekraakt, waarbij de daadwerkelijke credentials van de gebruiker in te zien zijn.
Dit doen ze door het bestand een connectie naar een SMB-share (netwerkschijf) te laten maken die niet bestaat. Doordat ze het verkeer op het adres waar ze naar toe verbinden kunnen inzien kunnen ze hier alle hashes uitlezen, omdat Windows deze allemaal stuurt in een poging in te loggen op de netwerkschijf.
Nog geen officiële patch
Microsoft heeft bevestigd het probleem te onderzoeken en mogelijk met een officiële patch te komen.
In de tussentijd heeft 0patch een micropatch uitgebracht om dit op te lossen, maar er is ook een workaround door in het register of met een Group Policy de NTLM authenticatie uit te schakelen door middel van Network security: Restrict NTLM.
Meer weten of benieuwd hoe we jouw organisatie kunnen verbeteren?
Hier kunnen we je bij helpen! We kunnen een risico analyse doen om in kaart te brengen waar de grootste risico’s zitten. Ook met de resultaten van een simulatie kunnen we altijd helpen.
Meer weten? Neem contact met ons op!
Meer artikelen
- Microsoft maakt nieuwe accounts standaard wachtwoordloosMicrosoft maakt nieuwe accounts standaard wachtwoordloos, waarbij gebruikers inloggen via passkeys, biometrie of verificatiecodes.
- Amerikaanse overheid stopt financiering van MITREDe Amerikaanse non-profit organisatie MITRE, vooral bekend van het CVE-programma (Common Vulnerabilities & Exposures) wat één van de steunpilaren van de cybersecurity-industrie is heeft bekend gemaakt dat met ingang van 16 april de Amerikaanse overheid stopt met het financieren van dit programma.
- Microsoft dicht actief gebruikt zero-day lek in WindowsMicrosoft heeft recent updates uitgebracht die een zero-day kwetsbaarheid in vrijwel alle versies van Windows oplost. Deze kwetsbaarheid werd volgens diverse onderzoeken ingezet in ransomware-aanvallen om privilege escalation te doen.
- Ransomware bende gebruikt webcam om systemen te versleutelenRansomware bende gebruikt webcams om ransomware ongezien in een netwerk te verspreiden.
- Malware vermomd als CAPTCHA-verificatieNieuwe malware doet zich voor als een defecte CAPTCHA. Gebruikers volgen herstelinstructies, maar voeren zo onbewust malware uit.