НАЗАД К НОВОСТЯМ
Эксплойты

Критическая уязвимость утечки хешей NTLMv2 в Windows 10 версии 22H2 (CVE ожидается)

2 мин чтенияИсточник: Exploit Database

Исследователи обнаружили критическую уязвимость в Windows 10 версии 22H2, позволяющую кражу хешей NTLMv2. Узнайте о рисках и мерах защиты.

Критическая уязвимость утечки хешей NTLMv2 в Windows 10 версии 22H2

Исследователи в области кибербезопасности выявили критическую уязвимость в Microsoft Windows 10 версии 19045 (22H2), которая позволяет утечку хешей NTLMv2. Это может привести к краже учётных данных и горизонтальному перемещению злоумышленников в скомпрометированных сетях. Эксплойт, опубликованный на Exploit Database (EDB-ID: 52415), представляет значительную угрозу для предприятий, использующих Windows 10.

Технические детали уязвимости

Уязвимость связана с неправильной обработкой ответов аутентификации NTLMv2, что позволяет злоумышленникам перехватывать хешированные учётные данные в процессе передачи. NTLMv2 (NT LAN Manager version 2) — это протокол аутентификации типа «запрос-ответ», используемый в Windows для сетевой аутентификации. В случае эксплуатации этой уязвимости возможны:

  • Кража учётных данных через атаки «человек посередине» (MITM) или поддельные серверы
  • Атаки pass-the-hash, позволяющие обойти требования к паролям
  • Горизонтальное перемещение в сети после первоначального компрометации

На момент публикации CVE-идентификатор этой уязвимости ещё не присвоен. Тем не менее, ИБ-командам рекомендуется следить за обновлениями в бюллетенях безопасности Microsoft.

Анализ последствий

Уязвимость утечки хешей NTLMv2 представляет высокий риск для организаций, особенно тех, где:

  • Используются устаревшие системы, всё ещё полагающиеся на аутентификацию NTLM
  • Развёрнуты непропатченные версии Windows 10 19045 (22H2)
  • Неправильно настроены политики сетевой безопасности, разрешающие трафик NTLM

Успешная эксплуатация может привести к повышению привилегий, утечкам данных или полному компрометации домена, если сочетается с другими методами атак. Предприятиям следует оценить свою уязвимость и уделить первоочередное внимание мерам по снижению рисков.

Рекомендации для ИБ-команд

Для снижения рисков, связанных с этой уязвимостью, специалистам по безопасности рекомендуется:

  1. Отключить аутентификацию NTLM, где это возможно, и перейти на Kerberos как основной протокол аутентификации.
  2. Установить последние обновления безопасности Microsoft, как только будет выпущен патч для Windows 10 версии 19045.
  3. Мониторить сетевой трафик на предмет подозрительных попыток аутентификации NTLM с помощью SIEM или EDR-решений.
  4. Внедрить подписывание SMB, чтобы предотвратить relay-атаки, нацеленные на хеши NTLM.
  5. Провести аудит безопасности для выявления систем, всё ещё использующих NTLM, и мигрировать на современные методы аутентификации.

ИБ-командам настоятельно рекомендуется ознакомиться с кодом эксплойта (EDB-ID: 52415) и протестировать свои среды на уязвимость. Официальный бюллетень от Microsoft пока не выпущен, но проактивные меры помогут снизить риски, связанные с этой критической уязвимостью.

Поделиться

TwitterLinkedIn