С помощью уязвимости в Windows хакеры могут украсть хеши паролей NTLM, не взаимодействуя с пользователем. Воспользоваться уязвимостью достаточно просто, а для проведения атаки не нужно обладать особыми техническими навыками. Необходимо лишь внедрить вредоносный SCF-файл в общедоступный каталог Windows.
Протокол сетевой аутентификации NTLM (NT LAN Manager) разработан корпорацией Microsoft для Windows NT.
После того, как в папку был добавлен файл, запускается его выполнение, а затем осуществляется сбор хешей паролей NTLM и их отправка на сервер, находящийся под контролем хакеров. Посредством легкодоступной программы злоумышленники могут осуществить взлом хеша и заполучить доступ к компьютерам пользователей. После получения непосредственного доступа к сети, к которой подключено целевое устройство, хакеры могут добраться и до соседних систем.
Проблема не касается общих папок, защищенных паролем. Так как в Windows пароль установлен по умолчанию, многие пользователи находятся в безопасности. Однако, для удобства пользования общие папки на устройствах, установленных в компаниях, школах и иных организациях, не защищены паролем, вследствие чего они уязвимы.
Уязвимость выявил исследователь информационной безопасности из Колумбии Хуан Диего. В апреле Диего проинформировал о своей находке Microsoft, которая выпустила соответствующий патч в октябре, предназначенный лишь для Windows 10 и Server 2016. Таким образом, другие версии операционной системы все еще уязвимы.
По словам Диего, бюллетень ADV170014, который был выпущен Microsoft, на самом деле устраняет проблему, но эксперту так и не удалось выявить причину появления уязвимости.
