Zero-day kwetsbaarheid in meerdere Windows-versies
Onderzoekers van beveiligingsbedrijf 0patch hebben een kwetsbaarheid ontdekt in meerdere Windows-versies waarbij hashes van credentials van gebruikers kunnen lekken door alleen een speciaal gemaakt bestand te openen. Deze hashes kunnen vervolgens gekraakt worden door de verouderde encryptie in het NTLM-protocol.
Zero-day
Een zero-day is een kwetsbaarheid die is ontdekt maar waarvoor er nog geen officiële patch beschikbaar is. Hiermee worden vaak nieuwe lekken aangeduid die nog actief misbruikt kunnen worden.
Het lekken van hashes
Door een speciaal gefabriceerd bestand op de machine (PC of server) te plaatsen of door de gebruiker deze te laten downloaden kunnen kwaadwillenden met dit lek Windows de hashes van gebruikers laten lekken.
Hashes zijn in feite de versleutelde wachtwoorden, maar door de verouderde encryptiestandaarden in het NTLM-protocol kunnen deze vrij eenvoudig worden gekraakt, waarbij de daadwerkelijke credentials van de gebruiker in te zien zijn.
Dit doen ze door het bestand een connectie naar een SMB-share (netwerkschijf) te laten maken die niet bestaat. Doordat ze het verkeer op het adres waar ze naar toe verbinden kunnen inzien kunnen ze hier alle hashes uitlezen, omdat Windows deze allemaal stuurt in een poging in te loggen op de netwerkschijf.
Nog geen officiële patch
Microsoft heeft bevestigd het probleem te onderzoeken en mogelijk met een officiële patch te komen.
In de tussentijd heeft 0patch een micropatch uitgebracht om dit op te lossen, maar er is ook een workaround door in het register of met een Group Policy de NTLM authenticatie uit te schakelen door middel van Network security: Restrict NTLM.
Meer weten of benieuwd hoe we jouw organisatie kunnen verbeteren?
Hier kunnen we je bij helpen! We kunnen een risico analyse doen om in kaart te brengen waar de grootste risico’s zitten. Ook met de resultaten van een simulatie kunnen we altijd helpen.
Meer weten? Neem contact met ons op!
Meer artikelen
- Infostealer-malware: het stille risico dat vaak te laat wordt ontdektInfostealer-malware krijgt minder aandacht dan ransomware, maar vormt in veel organisaties een groter en vooral stiller risico. Waar ransomware de boel platlegt […]
- Waarom verouderde Exchange-servers nu een acuut risico vormenMicrosoft Exchange blijft een aantrekkelijk doelwit voor aanvallers. Nu Microsoft de ondersteuning voor Exchange 2016 en 2019 heeft beëindigd, worden de risico’s […]
- Wat het Louvre ons leert over digitale hygiëne en hoe herhaling voorkomen kan wordenDe diefstal van de Franse kroonjuwelen uit het Louvre kreeg een onverwacht digitaal staartje: het wachtwoord van het CCTV-systeem bleek simpelweg “Louvre” […]
- Don’t say no, say how: waarom security teams moeten meebewegen met innovatieIn de wereld van cybersecurity is één ding zeker: als je als securityteam “nee” zegt, zullen gebruikers altijd “hoe dan wel?” zeggen […]
- Financieel gemotiveerde aanvallen domineren het cyberdreigingslandschapMicrosoft heeft op 16 oktober 2025 hun Digital Defense Report 2025 gepubliceerd. Het rapport laat zien dat de meeste cyberaanvallen tegenwoordig een […]