Una vulnerabilità zero-day recentemente scoperta in Windows consente agli aggressori di rubare le credenziali NTLM semplicemente inducendo gli utenti a visualizzare un file dannoso in Windows Explorer. La falla, identificata dal team 0patch, colpisce tutte le versioni di Windows da Windows 7 e Server 2008 R2 fino a Windows 11 24H2 e Server 2022, rendendo le organizzazioni vulnerabili agli attacchi basati sull'identità. Sebbene questa tecnica sia nota da anni ai pentester e ai professionisti della sicurezza, la sua recente divulgazione da parte del team 0patch evidenzia l'urgenza per le organizzazioni di affrontare i rischi posti da protocolli legacy come NTLM.
Comprensione della vulnerabilità Questo zero-day sfrutta il modo in cui Windows gestisce l'autenticazione NTLM. Richiede un'interazione minima da parte dell'utente: è sufficiente visualizzare un file dannoso in Esplora file per attivare l'exploit. Ciò può avvenire in vari scenari, come l'accesso a una cartella condivisa, l'inserimento di un'unità USB o l'apertura della cartella Download. Quando il file dannoso viene visualizzato, l'exploit costringe il sistema dell'utente a iniziare una richiesta di autenticazione NTLM a una posizione remota. Questo invia gli hash NTLM dell'utente connesso, che gli aggressori possono decifrare per rivelare la password in chiaro dell'utente. Queste credenziali rubate possono essere utilizzate per aumentare i privilegi, spostarsi lateralmente o accedere a risorse sensibili.
Sebbene le debolezze di NTLM siano state riconosciute da decenni, molte organizzazioni si affidano ancora a questo protocollo a causa della sua profonda integrazione con i processi critici, rendendo difficile una sostituzione immediata. Ciò sottolinea la necessità di strategie di mitigazione proattive e di piani a lungo termine per la transizione a protocolli di autenticazione più sicuri.
Mancanza di una soluzione ufficiale
Nonostante i rischi significativi posti da questa vulnerabilità, essa non ha ancora ricevuto una designazione ufficiale CVE (Common Vulnerabilities and Exposures) o una correzione da parte di Microsoft. Questa è la terza falla zero-day rivelata dal team 0patch che Microsoft non ha ancora risolto, dopo il bypass del "Mark of the Web" e una vulnerabilità di Windows Themes segnalata all'inizio di quest'anno. Anche altri problemi legati a NTLM, come PetitPotam e PrinterBug, non sono stati risolti nelle attuali versioni di Windows.
Perché questa vulnerabilità è ancora importante
Sebbene le debolezze di NTLM siano ben documentate e il suo utilizzo sia stato criticato per decenni, molte organizzazioni continuano a fare affidamento su di esso. Ciò è spesso dovuto alla profonda integrazione del protocollo con i processi critici, che rende la sostituzione complessa e dispendiosa in termini di tempo. Tuttavia, poiché gli aggressori sfruttano sempre più spesso le vulnerabilità legacy, il costo dell'inazione cresce. Questa vulnerabilità ci ricorda che anche le falle più note possono rimanere pericolose se non vengono affrontate. Le organizzazioni devono bilanciare la sfida di sostituire i sistemi legacy con l'urgente necessità di proteggere i loro ambienti. Anche se la sostituzione immediata di NTLM potrebbe non essere fattibile, l'adozione di soluzioni avanzate di rilevamento e risposta può fornire una protezione critica contro il furto di credenziali e gli spostamenti laterali.
Come può aiutare Vectra AI
Vectra AI offre una solida protezione contro le minacce basate sull'identità sfruttando l'Attack Signal Intelligence™ per rilevare e bloccare gli attacchi basati sull'identità. La soluzione Identity Threat Detection and Response (ITDR) di Vectra AIè progettata per identificare e bloccare gli attacchi basati sull'identità, compresi quelli che prendono di mira le credenziali NTLM.
- Rilevamento dell'abuso di credenziali: Vectra AI si concentra sulla comprensione del modo in cui gli aggressori utilizzano le credenziali rubate per raggiungere i loro obiettivi, piuttosto che sui soli metodi utilizzati per rubarle. Questo approccio consente di rilevare varie tecniche di abuso delle credenziali, come Pass the Hash e Pass the Ticket, comunemente utilizzate dopo aver ottenuto gli hash NTLM.
- Monitoraggio degli attacchi basati sull'identità: La nostra piattaforma offre una copertura completa per gli attaccanti che prendono di mira le credenziali e gli archivi di identità utilizzando tecniche come Kerberoasting, DCSync e query LDAP non corrette. Monitorando continuamente le attività sospette legate all'identità, Vectra AI può avvisare i team di sicurezza di potenziali tentativi di sfruttamento.
- Attack Signal Intelligence: Vectra AI sfrutta l'Attack Signal Intelligence™ per distinguere tra attività benigne e minacce reali, concentrandosi sui segnali che indicano i comportamenti reali degli aggressori. Analizzando il modo in cui gli aggressori interagiscono con i sistemi, Vectra AI identifica i tentativi di accesso non autorizzato e le attività di movimento laterale derivanti da vulnerabilità come l'exploit NTLM, aiutando i team di sicurezza a concentrarsi su ciò che conta di più.
- Riduzione dell'affaticamento da allerta: Correlando la copertura dell'identità con l'attività più ampia della rete e del cloud , Vectra AI riduce al minimo i falsi positivi, fornendo chiarezza sui comportamenti reali degli aggressori e riducendo l'affaticamento degli analisti della sicurezza.
Proteggete la vostra organizzazione oggi stesso
Vi affidate ancora a protocolli legacy come NTLM? È il momento di proteggere la vostra organizzazione. Scoprite come l'Attack Signal Intelligence™ di Vectra AIpuò aiutarvi a rilevare e bloccare minacce come il furto di credenziali NTLM prima che causino danni.
Richiedete oggi stesso una demo e scoprite come Vectra AI rafforza la vostra difesa contro le minacce informatiche in continua evoluzione.