Jak dochodzi do ataku?
Ataki wykorzystujące skróty NTLM nie są niczym nowym, jednak nowa luka jest wyjątkowo podstępna. Dotyczy praktycznie wszystkich wersji systemu Windows, od starszych jak Windows 7, przez popularną „dziesiątkę”, aż po najnowsze wersje Windows 11, obejmując także serwery – od Server 2008 R2 aż po Server 2025. Podatność ta pozwala cyberprzestępcom uzyskać dane NTLM jedynie poprzez nakłonienie użytkownika do obejrzenia odpowiednio spreparowanego pliku, co może się zdarzyć już po otwarciu folderu współdzielonego lub nawet automatycznie pobranego pliku z Internetu. NTLM jest mechanizmem uwierzytelniającym szeroko używanym w środowiskach Windows, przez co stał się częstym celem ataków. Cyberprzestępcy, przechwytując zaszyfrowane dane uwierzytelniające, są w stanie podszywać się pod użytkownika, co w efekcie pozwala im na dostęp do poufnych informacji oraz dalszą eksplorację i infekcję sieci ofiary.
Tymczasowe rozwiązanie od ACROS Security
Problem został wykryty przez firmę ACROS Security, która podczas prac nad wcześniejszą łatką dotyczącą innej luki natrafiła właśnie na ten błąd. Choć firma nie udostępnia szczegółów technicznych, wiadomo już, że zagrożenie zostało zgłoszone Microsoftowi, a użytkownicy mogą na razie skorzystać z tymczasowego rozwiązania, jakim są mikropoprawki udostępniane przez serwis 0patch. Jest to nieoficjalna poprawka, która zabezpiecza urządzenia do czasu oficjalnej łatki Microsoftu. Firma ACROS Security podkreśla, że chociaż luka ta nie należy do krytycznych, już teraz jest aktywnie wykorzystywana w rzeczywistych atakach. Ryzyko zależy od specyfiki sieci ofiary oraz ewentualnego dostępu atakujących do wewnętrznych zasobów lub publicznych serwerów. Jednak fakt, że atakujący mogą łatwo wywołać atak np. poprzez umieszczenie złośliwego pliku na pendrive czy w folderze współdzielonym, znacząco zwiększa skalę potencjalnego zagrożenia.
Aby skorzystać z dostępnej obecnie mikropoprawki, użytkownicy muszą jedynie założyć darmowe konto na platformie 0patch oraz zainstalować niewielkiego agenta. Co istotne, aplikacja ta automatycznie instaluje poprawkę bez konieczności restartowania komputera, dzięki czemu rozwiązanie jest wygodne i szybkie we wdrożeniu. Microsoft na razie nie określił terminu wydania oficjalnej poprawki, zapewniając jedynie, że monitoruje sytuację i w razie potrzeby podejmie odpowiednie działania w celu ochrony użytkowników. Warto dodać, że 0patch już wcześniej pomagał użytkownikom systemu Windows, dostarczając szybkie rozwiązania dla podobnych zagrożeń – między innymi dla błędów takich jak PetitPotam czy PrinterBug. Obecny zero-day nie jest więc pierwszym przypadkiem, gdy użytkownicy muszą sięgnąć po nieoficjalne wsparcie bezpieczeństwa.
