Lỗ hổng zero-day cho phép đánh cắp thông tin NTLM trên mọi phiên bản Windows

ntlm

Một lỗ hổng zero-day mới trên Windows vừa được phát hiện, cho phép kẻ tấn công đánh cắp thông tin xác thực NTLM chỉ bằng cách khiến nạn nhân xem một tệp độc hại qua Windows Explorer, mà không cần mở tệp.

Cách thức khai thác lỗ hổng NTLM

Lỗ hổng này được phát hiện bởi nhóm 0patch – một nền tảng cung cấp bản vá không chính thức cho các phiên bản Windows đã hết hỗ trợ – và đã được báo cáo cho Microsoft. Tuy nhiên, hiện tại chưa có bản vá chính thức nào được phát hành.

Theo 0patch, lỗ hổng này (chưa có mã CVE) ảnh hưởng đến tất cả các phiên bản Windows, từ Windows 7, Server 2008 R2, đến phiên bản mới nhất Windows 11 24H2 và Server 2022.

Lỗ hổng cho phép kẻ tấn công chiếm đoạt thông tin xác thực NTLM chỉ bằng cách khiến người dùng xem một tệp được thiết kế đặc biệt trong File Explorer. Người dùng không cần mở tệp, chỉ cần truy cập vào một thư mục chia sẻ, ổ USB, hoặc thư mục Downloads có chứa tệp độc hại.

Lỗ hổng này ép Windows thực hiện kết nối NTLM outbound tới một hệ thống từ xa, dẫn đến việc Windows tự động gửi các NTLM hash của người dùng đang đăng nhập. Những thông tin NTLM hash này có thể được giải mã để thu thập tên đăng nhập và mật khẩu plaintext, gây ra nguy cơ mất quyền kiểm soát tài khoản nghiêm trọng.

NTLM hash là mục tiêu quan trọng của các cuộc tấn công, bởi chúng có thể bị giải mã để lấy thông tin đăng nhập hoặc sử dụng trong các cuộc tấn công Pass-the-Hash nhằm chiếm quyền truy cập hệ thống.

Ảnh hưởng và nguy cơ bảo mật từ lỗ hổng

Vấn đề này không phải là mới đối với giao thức NTLM. Các lỗ hổng trước đây như PetitPotam, PrinterBug, và DFSCoerce vẫn chưa được vá trên các phiên bản Windows mới nhất. Điều này khiến cho nguy cơ bị khai thác trở nên nghiêm trọng hơn, đặc biệt trong môi trường doanh nghiệp.

Microsoft từng công bố kế hoạch loại bỏ giao thức NTLM authentication khỏi Windows 11 trong tương lai, nhưng hiện tại, giao thức này vẫn được sử dụng rộng rãi, làm tăng nguy cơ bị tấn công. Đây là lỗ hổng zero-day thứ ba mà 0patch báo cáo gần đây nhưng chưa được Microsoft khắc phục.

Hai lỗ hổng trước đó gồm:

  1. Mark of the Web (MotW) bypass trên Windows Server 2012.
  2. Windows Themes vulnerability, cho phép đánh cắp NTLM credentials từ xa.

Bản khắc phục tạm thời

0patch cung cấp một bản vá tạm thời (micropatch) miễn phí cho lỗ hổng NTLM zero-day mới để bảo vệ mình khỏi nguy cơ bị đánh cắp thông tin đăng nhập. Người dùng có thể đăng ký tài khoản miễn phí trên 0patch Central, cài đặt agent và kích hoạt bản vá mà không cần khởi động lại hệ thống.

Ngoài ra, nếu người dùng không muốn áp dụng bản vá không chính thức này có thể vô hiệu hóa NTLM authentication bằng cách:

  1. Cấu hình Group Policy tại: Security Settings > Local Policies > Security Options.
  2. Hạn chế NTLM qua Registry.

Lỗ hổng zero-day NTLM không chỉ ảnh hưởng đến cá nhân mà còn đe dọa an ninh của các tổ chức và doanh nghiệp. Việc áp dụng các biện pháp bảo vệ ngay lập tức là cần thiết để giảm thiểu nguy cơ mất dữ liệu và bị tấn công. Đồng thời, người dùng nên theo dõi sát sao các bản vá chính thức từ Microsoft trong thời gian tới.

Nguồn: Bleeping Computer