Zero-day kwetsbaarheid in meerdere Windows-versies
Onderzoekers van beveiligingsbedrijf 0patch hebben een kwetsbaarheid ontdekt in meerdere Windows-versies waarbij hashes van credentials van gebruikers kunnen lekken door alleen een speciaal gemaakt bestand te openen. Deze hashes kunnen vervolgens gekraakt worden door de verouderde encryptie in het NTLM-protocol.
Zero-day
Een zero-day is een kwetsbaarheid die is ontdekt maar waarvoor er nog geen officiële patch beschikbaar is. Hiermee worden vaak nieuwe lekken aangeduid die nog actief misbruikt kunnen worden.
Het lekken van hashes
Door een speciaal gefabriceerd bestand op de machine (PC of server) te plaatsen of door de gebruiker deze te laten downloaden kunnen kwaadwillenden met dit lek Windows de hashes van gebruikers laten lekken.
Hashes zijn in feite de versleutelde wachtwoorden, maar door de verouderde encryptiestandaarden in het NTLM-protocol kunnen deze vrij eenvoudig worden gekraakt, waarbij de daadwerkelijke credentials van de gebruiker in te zien zijn.
Dit doen ze door het bestand een connectie naar een SMB-share (netwerkschijf) te laten maken die niet bestaat. Doordat ze het verkeer op het adres waar ze naar toe verbinden kunnen inzien kunnen ze hier alle hashes uitlezen, omdat Windows deze allemaal stuurt in een poging in te loggen op de netwerkschijf.
Nog geen officiële patch
Microsoft heeft bevestigd het probleem te onderzoeken en mogelijk met een officiële patch te komen.
In de tussentijd heeft 0patch een micropatch uitgebracht om dit op te lossen, maar er is ook een workaround door in het register of met een Group Policy de NTLM authenticatie uit te schakelen door middel van Network security: Restrict NTLM.
Meer weten of benieuwd hoe we jouw organisatie kunnen verbeteren?
Hier kunnen we je bij helpen! We kunnen een risico analyse doen om in kaart te brengen waar de grootste risico’s zitten. Ook met de resultaten van een simulatie kunnen we altijd helpen.
Meer weten? Neem contact met ons op!
Meer artikelen
- Eén op de vier ransomware-slachtoffers krijgt data niet terug na betalingUit een rapport van cybersecuritybedrijf Delinea is gebleken dat één op de vier slachtoffers van ransomware de data niet of niet helemaal terug heeft gekregen na het betalen van het losgeld.
- Politie haalt veelgebruikte malware-tool offlineDe politie heeft de malware-testdienst AVCheck offline gehaald, waarmee cybercriminelen hun software onzichtbaar maakten voor antivirusprogramma’s. Deze actie, onderdeel van een internationale operatie, verstoort de verspreiding van malware en voorkomt nieuwe slachtoffers.
- Microsoft maakt nieuwe accounts standaard wachtwoordloosMicrosoft maakt nieuwe accounts standaard wachtwoordloos, waarbij gebruikers inloggen via passkeys, biometrie of verificatiecodes.
- Amerikaanse overheid stopt financiering van MITREDe Amerikaanse non-profit organisatie MITRE, vooral bekend van het CVE-programma (Common Vulnerabilities & Exposures) wat één van de steunpilaren van de cybersecurity-industrie is heeft bekend gemaakt dat met ingang van 16 april de Amerikaanse overheid stopt met het financieren van dit programma.
- Microsoft dicht actief gebruikt zero-day lek in WindowsMicrosoft heeft recent updates uitgebracht die een zero-day kwetsbaarheid in vrijwel alle versies van Windows oplost. Deze kwetsbaarheid werd volgens diverse onderzoeken ingezet in ransomware-aanvallen om privilege escalation te doen.