image

Windows-spoofinglek sinds juni misbruikt om NTLMv2-hashes te stelen

donderdag 14 november 2024, 10:51 door Redactie, 11 reacties

Aanvallers gebruiken sinds juni malafide URL-bestanden om NTLMv2-hashes van doelwitten te stelen. Daarbij wordt gebruikgemaakt van een kwetsbaarheid in Windows waarvoor Microsoft afgelopen dinsdag beveiligingsupdates uitbracht. Een zip-bestand met daarin een malafide URL-bestand werd op 21 juni naar Googles online virusscandienst VirusTotal.com geüpload.

Microsoft omschrijft de kwetsbaarheid (CVE-2024-43451) als "NTLM hash disclosure spoofing". Misbruik vindt plaats wanneer een gebruiker met de rechtermuisknop op een malafide URL-bestand klikt, het bestand via de deleteknop verwijdert of het bestand naar een andere map sleept. Vervolgens zal de computer van de gebruiker verbinding met de server van de aanvaller maken, waarbij de NTLMv2-hash van de gebruiker naar de server wordt verstuurd.

De NT LAN Manager (NTLM), en diens opvolger NTLMv2, is een challenge-en-response protocol voor het authenticeren van gebruikers, waarbij gebruik wordt gemaakt van wachtwoordhashes. "Na het ontvangen van de NTLM-hash kan een aanvaller een pass-the-hash-aanval uitvoeren om zich als de gebruiker van de betreffende hash voor te doen, zonder over het bijbehorende wachtwoord te beschikken", aldus securitybedrijf ClearSky dat de kwetsbaarheid aan Microsoft rapporteerde. Ook het techbedrijf waarschuwt dat aanvallers via de gestolen hash als de gebruiker kunnen inloggen.

Aanvallen waarbij misbruik van het beveiligingslek werd gemaakt begonnen met phishingmails die vanaf een gecompromitteerde server werden verstuurd. Vervolgens werd er in de phishingmail gelinkt naar een zip-bestand gehost op een gecompromitteerde server. Dit zip-bestand bevatte onder andere het malafide URL-bestand.

Reacties (11)
14-11-2024, 13:07 door Anoniem
Misbruik vindt plaats wanneer een gebruiker met de rechtermuisknop op een malafide URL-bestand klikt, het bestand via de deleteknop verwijdert of het bestand naar een andere map sleept. Vervolgens zal de computer van de gebruiker verbinding met de server van de aanvaller maken, waarbij de NTLMv2-hash van de gebruiker naar de server wordt verstuurd.
Wat een ongelooflijk failliet systeem dat dit mogelijk is,
14-11-2024, 14:45 door Anoniem
Ook wel weer bizar dat er nergens staat dat het een best practice is om poort 445, 135 en 137-139 te blokkeren op je Internet firewall ook voor Outbound verkeer. Goede security hygiëne voorkomt al zoveel problemen.
14-11-2024, 16:35 door Anoniem
Door Anoniem: Ook wel weer bizar dat er nergens staat dat het een best practice is om poort 445, 135 en 137-139 te blokkeren op je Internet firewall ook voor Outbound verkeer. Goede security hygiëne voorkomt al zoveel problemen.
Helemaal correct!
Eindelijk iemand met een zinvolle opmerking waar sommige iets aan kunnen hebben!!!
14-11-2024, 17:39 door Anoniem
Door Anoniem:
Door Anoniem: Ook wel weer bizar dat er nergens staat dat het een best practice is om poort 445, 135 en 137-139 te blokkeren op je Internet firewall ook voor Outbound verkeer. Goede security hygiëne voorkomt al zoveel problemen.
Helemaal correct!
Eindelijk iemand met een zinvolle opmerking waar sommige iets aan kunnen hebben!!!
Aan jouw opmerking hebben we ook niets. Ik zou niet met een failliet systeem met zo veel problemen willen werken. Daar helpt ook geen security hygiëne tegen. Denk aan de driveby download infecties
15-11-2024, 08:51 door Bitje-scheef
Door Anoniem:
Door Anoniem:
Door Anoniem: Ook wel weer bizar dat er nergens staat dat het een best practice is om poort 445, 135 en 137-139 te blokkeren op je Internet firewall ook voor Outbound verkeer. Goede security hygiëne voorkomt al zoveel problemen.
Helemaal correct!
Eindelijk iemand met een zinvolle opmerking waar sommige iets aan kunnen hebben!!!
Aan jouw opmerking hebben we ook niets. Ik zou niet met een failliet systeem met zo veel problemen willen werken. Daar helpt ook geen security hygiëne tegen. Denk aan de driveby download infecties

Ja het is nu eenmaal een lijst die je af moet werken. Het gaat niet vanzelf. Je koppelt nog steeds een "intern" systeem aan een mogelijkheid om met een "buiten" systeem te communiceren. NTLMv? is nooit opgezet om ook rekening te houden met "buiten" systemen.
15-11-2024, 09:25 door Anoniem
Door Bitje-scheef:
Door Anoniem:
Door Anoniem:
Door Anoniem: Ook wel weer bizar dat er nergens staat dat het een best practice is om poort 445, 135 en 137-139 te blokkeren op je Internet firewall ook voor Outbound verkeer. Goede security hygiëne voorkomt al zoveel problemen.
Helemaal correct!
Eindelijk iemand met een zinvolle opmerking waar sommige iets aan kunnen hebben!!!
Aan jouw opmerking hebben we ook niets. Ik zou niet met een failliet systeem met zo veel problemen willen werken. Daar helpt ook geen security hygiëne tegen. Denk aan de driveby download infecties

Ja het is nu eenmaal een lijst die je af moet werken. Het gaat niet vanzelf. Je koppelt nog steeds een "intern" systeem aan een mogelijkheid om met een "buiten" systeem te communiceren. NTLMv? is nooit opgezet om ook rekening te houden met "buiten" systemen.
Precies en ook aan die driveby downloads, die echt niet voorbehouden zijn aan 1 enkel operating systeem, kun je het nodige doen zoals o.a. het toepassen van allerlei black lists voor in - en uitgaand verkeer waarvan bekend is dat deze gevaar opleveren en waar er meer dan genoeg van te vinden zijn op het Internet.
15-11-2024, 12:11 door Anoniem
Door Anoniem:
Door Bitje-scheef:
Door Anoniem:
Door Anoniem:
Door Anoniem: Ook wel weer bizar dat er nergens staat dat het een best practice is om poort 445, 135 en 137-139 te blokkeren op je Internet firewall ook voor Outbound verkeer. Goede security hygiëne voorkomt al zoveel problemen.
Helemaal correct!
Eindelijk iemand met een zinvolle opmerking waar sommige iets aan kunnen hebben!!!
Aan jouw opmerking hebben we ook niets. Ik zou niet met een failliet systeem met zo veel problemen willen werken. Daar helpt ook geen security hygiëne tegen. Denk aan de driveby download infecties

Ja het is nu eenmaal een lijst die je af moet werken. Het gaat niet vanzelf. Je koppelt nog steeds een "intern" systeem aan een mogelijkheid om met een "buiten" systeem te communiceren. NTLMv? is nooit opgezet om ook rekening te houden met "buiten" systemen.
Precies en ook aan die driveby downloads, die echt niet voorbehouden zijn aan 1 enkel operating systeem, kun je het nodige doen zoals o.a. het toepassen van allerlei black lists voor in - en uitgaand verkeer waarvan bekend is dat deze gevaar opleveren en waar er meer dan genoeg van te vinden zijn op het Internet.
Een driveby download infectie is op een Linux desktop nog niet aangetoond. Daarom heeft Linux ransomware weinig kans en zijn ransomware incidenten afgerond 100% windows gebaseerd.
16-11-2024, 08:39 door Anoniem
Door Anoniem:
Door Anoniem:
Door Bitje-scheef:
Door Anoniem:
Door Anoniem:
Door Anoniem: Ook wel weer bizar dat er nergens staat dat het een best practice is om poort 445, 135 en 137-139 te blokkeren op je Internet firewall ook voor Outbound verkeer. Goede security hygiëne voorkomt al zoveel problemen.
Helemaal correct!
Eindelijk iemand met een zinvolle opmerking waar sommige iets aan kunnen hebben!!!
Aan jouw opmerking hebben we ook niets. Ik zou niet met een failliet systeem met zo veel problemen willen werken. Daar helpt ook geen security hygiëne tegen. Denk aan de driveby download infecties

Ja het is nu eenmaal een lijst die je af moet werken. Het gaat niet vanzelf. Je koppelt nog steeds een "intern" systeem aan een mogelijkheid om met een "buiten" systeem te communiceren. NTLMv? is nooit opgezet om ook rekening te houden met "buiten" systemen.
Precies en ook aan die driveby downloads, die echt niet voorbehouden zijn aan 1 enkel operating systeem, kun je het nodige doen zoals o.a. het toepassen van allerlei black lists voor in - en uitgaand verkeer waarvan bekend is dat deze gevaar opleveren en waar er meer dan genoeg van te vinden zijn op het Internet.
Een driveby download infectie is op een Linux desktop nog niet aangetoond. Daarom heeft Linux ransomware weinig kans en zijn ransomware incidenten afgerond 100% windows gebaseerd.
Android is Linux-based en heeft ook last van driveby downloads
16-11-2024, 12:11 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Bitje-scheef:
Door Anoniem:
Door Anoniem:
Door Anoniem: Ook wel weer bizar dat er nergens staat dat het een best practice is om poort 445, 135 en 137-139 te blokkeren op je Internet firewall ook voor Outbound verkeer. Goede security hygiëne voorkomt al zoveel problemen.
Helemaal correct!
Eindelijk iemand met een zinvolle opmerking waar sommige iets aan kunnen hebben!!!
Aan jouw opmerking hebben we ook niets. Ik zou niet met een failliet systeem met zo veel problemen willen werken. Daar helpt ook geen security hygiëne tegen. Denk aan de driveby download infecties

Ja het is nu eenmaal een lijst die je af moet werken. Het gaat niet vanzelf. Je koppelt nog steeds een "intern" systeem aan een mogelijkheid om met een "buiten" systeem te communiceren. NTLMv? is nooit opgezet om ook rekening te houden met "buiten" systemen.
Precies en ook aan die driveby downloads, die echt niet voorbehouden zijn aan 1 enkel operating systeem, kun je het nodige doen zoals o.a. het toepassen van allerlei black lists voor in - en uitgaand verkeer waarvan bekend is dat deze gevaar opleveren en waar er meer dan genoeg van te vinden zijn op het Internet.
Een driveby download infectie is op een Linux desktop nog niet aangetoond. Daarom heeft Linux ransomware weinig kans en zijn ransomware incidenten afgerond 100% windows gebaseerd.
Android is Linux-based en heeft ook last van driveby downloads
Er is wel meer linux based, het is immers de meest gebruikte kernel ter wereld die iedereen mag gebruiken, copieren en verbouwen. Android is verder wel een heel ander OS dan een Linux desktop maar ook hier niet 1 voorbeeld van een driveby download infection kunnen vinden met Google. Infecteren kan gewoon niet omdat een gedownloade file niet executeerbaar is iit windows. Je moet dan eerst het z.g. x bitje setten. Dan heb je wel verschillende CVE's nodig. Nog niet aangetoond.
17-11-2024, 13:54 door Anoniem
Hoe is dit een 'nieuw' lek? Het was altijd al mogelijk om bijvoorbeeld 't pad voor het icoontje in de LNK file in te stellen op een SMB-share, waarna de client zich tegen die SMB share probeert te authenticeren (en dus de hash lekt...)
18-11-2024, 10:50 door Anoniem
Door Anoniem:
Door Anoniem: Ook wel weer bizar dat er nergens staat dat het een best practice is om poort 445, 135 en 137-139 te blokkeren op je Internet firewall ook voor Outbound verkeer. Goede security hygiëne voorkomt al zoveel problemen.
Helemaal correct!
Eindelijk iemand met een zinvolle opmerking waar sommige iets aan kunnen hebben!!!
Als je de informatie leest die hier in het artikel gegeven wordt, dan zou je beter kunnen vaststellen dat het dichtzetten van SMB/CIFS poorten op je firewall weliswaar een ONTZETTEND goed idee is (liever omgekeerd: In een On-prem omgeving waar NTLM nog welig tiert alles standaard dicht en alleen noodzakelijke poorten open), maar volstrekt geen enkele kant nog wal raakt in deze aanval.

Je klikt nl op een geinfecteerd bestand wat je via Mail of via Web gedownload hebt (dus geen CIFS), die lokaal jouw NTLM hash pakt, en vervolgens deze via WEB verstuurd naar een aanvaller. Die kan daar vervolgens misbruik van maken door middel van replay attacks vanuit een (ander) reeds gecompromitteerd systeem in het netwerk van het slachtoffer.

Dus om nou te hypen (Eindelijk met liefst 3 !) dat deze opmerking in deze context zo zinvol is... mêh.

Ben het wel eens dat basis hygiene cruciaal is. Mist helaas nog steeds bij het merendeel van de bedrijven.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.