Uma vulnerabilidade zero dia nos temas do Windows está permitindo que atacantes roubem remotamente credenciais NTLM dos usuários, mas correções não oficiais e gratuitas já estão disponíveis para proteger sistemas afetados enquanto um patch oficial é aguardado. As credenciais NTLM têm sido alvo de ataques de relay e “pass-the-hash,” métodos que usam credenciais de sistemas vulneráveis para obter acesso a dados confidenciais e realizar movimentação lateral em redes comprometidas.
Um ano atrás, a Microsoft anunciou que descontinuará o protocolo NTLM no Windows 11 futuramente. Entretanto, uma nova vulnerabilidade em arquivos de temas do Windows, descoberta pela ACROS Security, permite a exposição de credenciais NTLM de um usuário. Quando um arquivo de tema malicioso é exibido no Windows Explorer, o sistema envia automaticamente requisições de rede autenticadas para hosts remotos, incluindo as credenciais NTLM do usuário.
Contornando patches incompletos
A falha foi encontrada pela ACROS Security durante o desenvolvimento de um micropatch para uma vulnerabilidade relacionada, rastreada como CVE-2024-38030. Esta vulnerabilidade, descoberta pelo pesquisador Tomer Peled da Akamai, é um desvio de segurança para uma falha anterior de falsificação em temas do Windows, identificada como CVE-2024-21320, e corrigida pela Microsoft em janeiro.
Peled descobriu que temas configurados com caminhos de rede para propriedades como BrandImage e Wallpaper levam o Windows a enviar automaticamente requisições autenticadas para hosts remotos, expondo as credenciais NTLM ao visualizar o arquivo. Mesmo após o patch de julho para a CVE-2024-38030, a ACROS identificou outro ponto de exploração para roubo de credenciais NTLM em todas as versões atualizadas do Windows, incluindo Windows 7 e Windows 11 24H2.
Notícias Relacionadas
Inovações com IA
Bloco de notas e Paint do Windows 11 ganham recursos de IA para reescrita e edição de imagem
O Bloco de Notas e o Paint do Windows 11 agora oferecem ferramentas de reescrita e edição de imagens com IA, disponíveis para Insiders nos canais Dev e Canary. A novidade permite aos usuários editar textos e imagens com funções como reescrita automática, preenchimento e apagamento generativo.
Novo adiamento
Microsoft adia lançamento do Windows Recall novamente, agora para dezembro
Microsoft adia o lançamento do recurso de IA Windows Recall para dezembro, buscando aprimorar a privacidade e segurança após feedback dos usuários.
Para resolver a vulnerabilidade de forma abrangente, a ACROS desenvolveu um patch mais geral que cobre todas as execuções de temas, impedindo o Windows de enviar requisições para hosts remotos ao apenas visualizar o arquivo.
Micropatches gratuitos e não oficiais disponíveis
Enquanto a Microsoft ainda não lançou uma correção oficial, a ACROS oferece micropatches gratuitos através do serviço 0patch. Esses patches são aplicados automaticamente em sistemas com o agente 0patch instalado, sem necessidade de reiniciar o sistema.
Embora o 0patch cubra apenas o Windows Workstation, já que a funcionalidade de temas não está habilitada no Windows Server por padrão, usuários de Windows Server podem prevenir o vazamento de credenciais evitando clicar duas vezes nos arquivos de tema. A Microsoft respondeu ao BleepingComputer que está ciente da situação e planeja um patch oficial.
Enquanto isso, usuários do Windows podem adotar medidas de mitigação como o bloqueio de hashes NTLM por meio de uma política de grupo, conforme descrito na orientação CVE-2024-21320.
