image

Windows-spoofinglek sinds juni misbruikt om NTLMv2-hashes te stelen

donderdag 14 november 2024, 10:51 door Redactie, 3 reacties

Aanvallers gebruiken sinds juni malafide URL-bestanden om NTLMv2-hashes van doelwitten te stelen. Daarbij wordt gebruikgemaakt van een kwetsbaarheid in Windows waarvoor Microsoft afgelopen dinsdag beveiligingsupdates uitbracht. Een zip-bestand met daarin een malafide URL-bestand werd op 21 juni naar Googles online virusscandienst VirusTotal.com geüpload.

Microsoft omschrijft de kwetsbaarheid (CVE-2024-43451) als "NTLM hash disclosure spoofing". Misbruik vindt plaats wanneer een gebruiker met de rechtermuisknop op een malafide URL-bestand klikt, het bestand via de deleteknop verwijdert of het bestand naar een andere map sleept. Vervolgens zal de computer van de gebruiker verbinding met de server van de aanvaller maken, waarbij de NTLMv2-hash van de gebruiker naar de server wordt verstuurd.

De NT LAN Manager (NTLM), en diens opvolger NTLMv2, is een challenge-en-response protocol voor het authenticeren van gebruikers, waarbij gebruik wordt gemaakt van wachtwoordhashes. "Na het ontvangen van de NTLM-hash kan een aanvaller een pass-the-hash-aanval uitvoeren om zich als de gebruiker van de betreffende hash voor te doen, zonder over het bijbehorende wachtwoord te beschikken", aldus securitybedrijf ClearSky dat de kwetsbaarheid aan Microsoft rapporteerde. Ook het techbedrijf waarschuwt dat aanvallers via de gestolen hash als de gebruiker kunnen inloggen.

Aanvallen waarbij misbruik van het beveiligingslek werd gemaakt begonnen met phishingmails die vanaf een gecompromitteerde server werden verstuurd. Vervolgens werd er in de phishingmail gelinkt naar een zip-bestand gehost op een gecompromitteerde server. Dit zip-bestand bevatte onder andere het malafide URL-bestand.

Reacties (3)
Vandaag, 13:07 door Anoniem
Misbruik vindt plaats wanneer een gebruiker met de rechtermuisknop op een malafide URL-bestand klikt, het bestand via de deleteknop verwijdert of het bestand naar een andere map sleept. Vervolgens zal de computer van de gebruiker verbinding met de server van de aanvaller maken, waarbij de NTLMv2-hash van de gebruiker naar de server wordt verstuurd.
Wat een ongelooflijk failliet systeem dat dit mogelijk is,
Vandaag, 14:45 door Anoniem
Ook wel weer bizar dat er nergens staat dat het een best practice is om poort 445, 135 en 137-139 te blokkeren op je Internet firewall ook voor Outbound verkeer. Goede security hygiëne voorkomt al zoveel problemen.
Vandaag, 16:35 door Anoniem
Door Anoniem: Ook wel weer bizar dat er nergens staat dat het een best practice is om poort 445, 135 en 137-139 te blokkeren op je Internet firewall ook voor Outbound verkeer. Goede security hygiëne voorkomt al zoveel problemen.
Helemaal correct!
Eindelijk iemand met een zinvolle opmerking waar sommige iets aan kunnen hebben!!!
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.