Temi di Windows continuano a spifferare le credenziali degli utenti

Gli sviluppatori di 0patch, soluzione che permette di applicare correzioni di sicurezza sui sistemi Windows in-memory, senza quindi necessitare di un riavvio della macchina, hanno rilasciato un aggiornamento gratuito a protezione degli utenti della piattaforma Microsoft. Il rilascio della patch non ufficiale, che anticipa sul tempo la distribuzione di un aggiornamento correttivo da parte dell’azienda di Redmond, evitare la condivisione non autorizzata delle credenziali d’accesso, semplicemente cliccando su un tema di Windows.

Scoperta della vulnerabilità in Windows

Nel 2023, il ricercatore di sicurezza Tomer Peled di Akamai ha iniziato a esaminare i file dei temi Windows. Durante l’analisi, ha scoperto che, quando il tema specificava un percorso di rete per alcune proprietà (in particolare BrandImage e Wallpaper), Windows inviava automaticamente richieste di rete agli host remoti, allegando le credenziali NTLM dell’utente. Ciò avveniva semplicemente visualizzando il file del tema all’interno di una qualsiasi finestra di Esplora file.

Avete capito bene: la presenza di tema malevolo in una cartella o sul desktop possono esporre le credenziali dell’utente senza alcuna azione aggiuntiva.

Microsoft ha corretto questo problema (CVE-2024-21320) tre mesi dopo la segnalazione ma nel frattempo, i ricercatori si sono accorti di un problema addizionale che porta ancora oggi all’esposizione delle credenziali NTLM degli utenti a partire da un file di tema.

Non è peraltro un problema nuovo: parlavamo delle falle di sicurezza che affliggono i temi Windows già nel 2020 e già allora spiegavamo come avviene il furto delle informazioni.

0patch batte Microsoft sul tempo e mette a disposizione un aggiornamento correttivo

Una nuova falla zero-day relativa ai temi di Windows ha attirato l’attenzione della comunità della sicurezza informatica, consentendo agli attaccanti di rubare da remoto le credenziali NTLM delle vittime. Questa vulnerabilità, che non ha ancora ricevuto un identificativo CVE, è stata scoperta dai ricercatori di 0patch (ACROS Security) durante lo sviluppo di una micropatch per una vulnerabilità già nota, identificata come CVE-2024-38030.

Mitja Kolsek, CEO di ACROS Security, ha pubblicato un video che mostra come copiare un file tema Windows malevolo su un sistema Windows 11 24H2 completamente aggiornato possa attivare una connessione di rete verso la macchina di un attaccante, esponendo le credenziali NTLM dell’utente loggato.

ACROS Security ha reso disponibili micropatch gratuite e non ufficiali per questa vulnerabilità zero-day tramite il software 0patch. Le patch sono accessibili a tutti gli utenti delle versioni di Windows interessate fino a quando Microsoft non rilascerà una correzione ufficiale.

Cosa sono NTLM e l’attacco pass-the-hash

NTLM (NT LAN Manager) è un protocollo di autenticazione sviluppato da Microsoft per autenticare utenti e computer in una rete Windows. È stato introdotto con Windows NT 3.1 ed è stato il principale protocollo di autenticazione utilizzato nei sistemi Windows fino all’arrivo di Kerberos, che ora è il protocollo preferito e consigliato nelle versioni più recenti di Windows.

Abbiamo già visto cos’è NTLM e come l’autenticazione su Windows diventa più sicura con Kerberos.

Il protocollo NTLM non invia le password in chiaro. Invece, genera un hash delle password (NTLM hash), utilizzato per l’autenticazione. Tuttavia, proprio a partire da questo hash gli attaccanti possono autenticarsi su un sistema senza conoscere la password (attacco pass-the-hash).