zero-day recentemente scoperta in Windows consente agli aggressori di rubare le credenziali NTLM semplicemente indurre gli utenti a visualizzare un file dannoso in Esplora risorse. La falla, identificata dal team 0patch, interessa tutte le versioni di Windows da Windows 7 e Server 2008 R2 fino a Windows 11 24H2 e Server 2022, rendendo le organizzazioni vulnerabili agli attacchi basati sull'identità. Sebbene questa tecnica sia nota da anni ai pentester e ai professionisti della sicurezza, la sua recente divulgazione pubblica da parte del team 0patch evidenzia l'urgenza per le organizzazioni di affrontare i rischi posti dai protocolli legacy come NTLM.
Comprendere la vulnerabilità Questo zero-day il modo in cui Windows gestisce l'autenticazione NTLM. Richiede un'interazione minima da parte dell'utente: è sufficiente visualizzare un file dannoso in Esplora file per attivare l'exploit. Ciò può verificarsi in vari scenari, ad esempio quando si accede a una cartella condivisa, si inserisce un'unità USB o si apre la cartella Download. Quando il file dannoso viene visualizzato, l'exploit costringe il sistema dell'utente ad avviare una richiesta di autenticazione NTLM a una posizione remota. Questo invia gli hash NTLM dell'utente che ha effettuato l'accesso, che gli aggressori possono decifrare per rivelare la password in chiaro dell'utente. Queste credenziali rubate possono quindi essere utilizzate per aumentare i privilegi, spostarsi lateralmente o accedere a risorse sensibili.
Sebbene i punti deboli di NTLM siano noti da decenni, molte organizzazioni continuano ad affidarsi a questo protocollo a causa della sua profonda integrazione con processi critici, rendendo difficile una sostituzione immediata. Ciò sottolinea la necessità di strategie di mitigazione proattive e piani a lungo termine per la transizione verso protocolli di autenticazione più sicuri.
Mancanza di una soluzione ufficiale
Nonostante i rischi significativi posti da questa vulnerabilità, essa non ha ancora ricevuto una designazione ufficiale Common Vulnerabilities and Exposures (CVE) né una correzione da parte di Microsoft. Si tratta della terza zero-day rivelata dal team 0patch che Microsoft non ha ancora risolto, dopo il bypass "Mark of the Web" e una vulnerabilità dei temi di Windows segnalata all'inizio di quest'anno. Anche altri problemi relativi a NTLM, come PetitPotam e PrinterBug, rimangono irrisolti nelle attuali versioni di Windows.
Perché questa vulnerabilità è ancora importante
Sebbene i punti deboli di NTLM siano ben documentati e il suo utilizzo sia stato criticato per decenni, molte organizzazioni continuano ad affidarsi ad esso. Ciò è spesso dovuto alla profonda integrazione del protocollo con processi critici, che rende la sua sostituzione complessa e dispendiosa in termini di tempo. Tuttavia, poiché gli aggressori sfruttano sempre più spesso le vulnerabilità legacy, il costo dell'inazione cresce. Questa vulnerabilità serve a ricordare che anche i difetti ben noti possono rimanere pericolosi se non vengono affrontati. Le organizzazioni devono trovare un equilibrio tra la sfida di sostituire i sistemi legacy e l'urgente necessità di proteggere i propri ambienti. Sebbene la sostituzione immediata di NTLM possa non essere fattibile, l'adozione di soluzioni avanzate di rilevamento e risposta può fornire una protezione fondamentale contro il furto di credenziali e il movimento laterale.
Come Vectra AI aiutarti
Vectra AI una protezione affidabile contro le minacce basate sull'identità sfruttando Attack Signal Intelligence™ per rilevare e bloccare gli attacchi basati sull'identità. La soluzione Identity Threat Detection and Response (ITDR) Vectra AIè progettata per identificare e bloccare gli attacchi basati sull'identità, compresi quelli che prendono di mira le credenziali NTLM.
- Rilevamento dell'uso improprio delle credenziali: Vectra AI sulla comprensione di come gli aggressori utilizzano le credenziali rubate per raggiungere i propri obiettivi, piuttosto che esclusivamente sui metodi utilizzati per rubarle. Questo approccio consente di rilevare varie tecniche di uso improprio delle credenziali, come Pass the Hash e Pass the Ticket, comunemente utilizzate dopo aver ottenuto gli hash NTLM.
- Monitoraggio degli attacchi basati sull'identità: la nostra piattaforma offre una copertura completa per gli aggressori che prendono di mira credenziali e archivi di identità utilizzando tecniche come Kerberoasting, DCSync e query LDAP non autorizzate. Monitorando costantemente le attività sospette relative all'identità, Vectra AI avvisare i team di sicurezza di potenziali tentativi di sfruttamento.
- Attack Signal Intelligence: Vectra AI Attack Signal Intelligence™ per distinguere tra attività innocue e minacce reali, concentrandosi sui segnali che indicano comportamenti effettivamente ostili. Analizzando il modo in cui gli aggressori interagiscono con i sistemi, Vectra AI i tentativi di accesso non autorizzati e le attività di movimento laterale derivanti da vulnerabilità come l'exploit NTLM, aiutando i team di sicurezza a concentrarsi su ciò che conta di più.
- Riduzione dell'affaticamento da allarmi: correlando la copertura dell'identità con cloud di rete e cloud più ampia, Vectra AI i falsi positivi, fornendo chiarezza sui comportamenti reali degli aggressori e riducendo l'affaticamento da allarmi per gli analisti della sicurezza.
Proteggi la tua organizzazione oggi stesso
Ti affidi ancora a protocolli obsoleti come NTLM? È ora di proteggere la tua organizzazione. Scopri come Attack Signal Intelligence™ Vectra AIpuò aiutarti a rilevare e bloccare minacce come il furto di credenziali NTLM prima che causino danni.
Richiedi oggi stesso una demo e scopri come Vectra AI la tua difesa contro le minacce informatiche in continua evoluzione.