Специалисты компании Acros Security выявили новую серьезную уязвимость нулевого дня в операционной системе Windows, которая позволяет злоумышленникам похищать учетные данные пользователей через протокол NTLM. Особенность атаки заключается в том, что для кражи данных достаточно просто открыть вредоносный файл в проводнике Windows Explorer.
Технические детали уязвимости
Обнаруженная уязвимость, получившая название SCF File, затрагивает все современные версии Windows — от Windows 7 до последних сборок Windows 11, включая серверные версии от Server 2008 R2 до Server 2025. Эксплуатация уязвимости не требует сложных технических навыков — достаточно заставить пользователя открыть папку, содержащую специально сформированный файл.
Механизм атаки и потенциальные риски
Злоумышленники могут использовать различные векторы доставки вредоносного файла: через общие сетевые папки, USB-накопители или путем автоматической загрузки файла через браузер в папку Downloads. После просмотра такого файла в проводнике Windows происходит автоматическая передача NTLM-хешей атакующему.
Возможные последствия компрометации
Похищенные NTLM-хеши могут быть использованы в различных типах атак, включая NTLM relay и pass-the-hash. Это позволяет злоумышленникам:
— Аутентифицироваться в системе от имени скомпрометированного пользователя
— Получать доступ к конфиденциальным данным
— Осуществлять латеральное перемещение по корпоративной сети
Меры защиты и рекомендации
До выпуска официального патча Microsoft пользователям рекомендуется использовать временное решение — бесплатные микропатчи от платформы 0patch, разработанной Acros Security. Компания Microsoft уже подтвердила получение информации об уязвимости и начала работу над исправлением.
Учитывая серьезность обнаруженной уязвимости и планы Microsoft по отказу от протокола NTLM в будущих версиях Windows 11, организациям рекомендуется усилить мониторинг сетевой активности и ограничить использование общих папок там, где это возможно. Также следует провести дополнительное обучение сотрудников по вопросам информационной безопасности и правилам работы с файлами из непроверенных источников.
