- 19,427
- 40
- 8 Ноя 2022
Один вредоносный SCF-файл ставит на кон всю систему жертвы.
Новая Для просмотра ссылки Войдиили Зарегистрируйся нулевого дня в Windows позволяет злоумышленникам похищать NTLM-хэши пользователей, просто заставив их открыть вредоносный файл в проводнике.
Для просмотра ссылки Войдиили Зарегистрируйся специалистами ACROS Security ошибка пока не получила официального идентификатора CVE, но уже признана опасной — она затрагивает все версии Windows, начиная с Windows 7 и заканчивая последними сборками Windows 11, а также серверные выпуски от Server 2008 R2 до Server 2025.
Суть уязвимости заключается в возможности организовать утечку NTLM-учётных данных, если пользователь просто просмотрит папку, в которой находится специально созданный SCF-файл. Так, при открытии флешки, сетевой папки или даже локального каталога «Загрузки», куда такой файл мог быть автоматически сохранён с веб-страницы атакующего, хэш NTLM автоматически уходит на внешний сервер.
NTLM уже давно используется в атаках типа NTLM relay и pass-the-hash, когда злоумышленники вынуждают устройство авторизоваться на подконтрольном сервере, перехватывают хэш пароля и используют его для аутентификации от имени жертвы. Это позволяет проникать в закрытые сегменты сети, получать доступ к чувствительной информации и развивать атаку дальше.
Хотя такие уязвимости не считаются критическими из-за ряда условий эксплуатации — например, необходимости доступа к внутренней сети или наличии внешнего целевого ресурса для ретрансляции — они всё же активно используются в реальных атаках. Такие методы уже применялись против публичных сервисов, включая Exchange-серверы.
Компания уже Для просмотра ссылки Войдиили Зарегистрируйся через собственный сервис микропатчинга Для просмотра ссылки Войди или Зарегистрируйся . Исправления доступны для всех поддерживаемых версий Windows. Чтобы установить обновление, необходимо Для просмотра ссылки Войди или Зарегистрируйся на платформе и установить агент Для просмотра ссылки Войди или Зарегистрируйся . После запуска агент применяет исправление автоматически, без перезагрузки системы, если это не запрещено локальной политикой безопасности.
ACROS направила отчёт об уязвимости в Microsoft, но до выхода официального обновления компания не раскрывает технические детали. Это стандартная практика компании, чтобы ограничить возможности Для просмотра ссылки Войдиили Зарегистрируйся до появления официального патча. Microsoft уже подтвердила, что получила уведомление и примет меры для защиты пользователей.
Недавно Microsoft Для просмотра ссылки Войдиили Зарегистрируйся Patch Tuesday 2025, устранив 57 уязвимостей, включая 6 активно эксплуатируемых нулевых дней. Среди исправленных проблем — 6 критических уязвимостей, позволяющих выполнять удалённый код.
Новая Для просмотра ссылки Войди
Для просмотра ссылки Войди
Суть уязвимости заключается в возможности организовать утечку NTLM-учётных данных, если пользователь просто просмотрит папку, в которой находится специально созданный SCF-файл. Так, при открытии флешки, сетевой папки или даже локального каталога «Загрузки», куда такой файл мог быть автоматически сохранён с веб-страницы атакующего, хэш NTLM автоматически уходит на внешний сервер.
NTLM уже давно используется в атаках типа NTLM relay и pass-the-hash, когда злоумышленники вынуждают устройство авторизоваться на подконтрольном сервере, перехватывают хэш пароля и используют его для аутентификации от имени жертвы. Это позволяет проникать в закрытые сегменты сети, получать доступ к чувствительной информации и развивать атаку дальше.
Хотя такие уязвимости не считаются критическими из-за ряда условий эксплуатации — например, необходимости доступа к внутренней сети или наличии внешнего целевого ресурса для ретрансляции — они всё же активно используются в реальных атаках. Такие методы уже применялись против публичных сервисов, включая Exchange-серверы.
Компания уже Для просмотра ссылки Войди
ACROS направила отчёт об уязвимости в Microsoft, но до выхода официального обновления компания не раскрывает технические детали. Это стандартная практика компании, чтобы ограничить возможности Для просмотра ссылки Войди
Недавно Microsoft Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
