Os pesquisadores de segurança da Acros Safety intervieram para resolver uma vulnerabilidade não resolvida nos arquivos de tema do Home windows que pode causar vazamento de credenciais NTLM ao visualizar determinados arquivos de tema no Home windows Explorer. Embora a Microsoft tenha lançado recentemente um patch (CVE-2024-38030) para corrigir um problema semelhante, os pesquisadores descobriram que esta atualização não resolveu totalmente o risco. A vulnerabilidade afeta vários sistemas Home windows, incluindo a versão mais recente do Home windows 11 (24H2), deixando muitos usuários potencialmente expostos.
Como o patch do arquivo de tema da Microsoft ficou aquém
A origem desta falha remonta a uma vulnerabilidade anterior, CVE-2024-21320, inicialmente relatada pelo pesquisador da Akamai, Tomer Peled. Peled descobriu que alguns arquivos de temas do Home windows, que podem especificar caminhos para imagens e papéis de parede, podem ser configurados para fazer solicitações baseadas em rede. Quando esses arquivos são visualizados, o Home windows pode enviar credenciais NTLM (New Expertise LAN Supervisor) – um protocolo de autenticação que verifica a identidade do usuário, mas corre o risco de expor dados confidenciais se acessados indevidamente. As descobertas de Peled revelaram que simplesmente abrindo uma pasta contendo um arquivo de tema malicioso, as credenciais do NTLM poderiam ser enviadas para um servidor externo.
Para corrigir isso, a Microsoft lançou um patch que usava uma função chamada PathIsUNC para verificar e bloquear caminhos de rede. No entanto, como o investigador de segurança James Forshaw demonstrou já em 2016, esta função poderia ser contornada com certas entradas, uma falha que Peled reconheceu rapidamente. A Microsoft então atualizou seu patch, atribuindo ao problema um novo identificador, CVE-2024-38030, mas sua solução revisada ainda não fechou todas as vias de exploração.
0Patch cria proteção mais ampla
Ao analisar o patch da Microsoft, os pesquisadores da Acros descobriram que ele deixava alguns caminhos de rede em arquivos de tema desprotegidos, afetando até mesmo sistemas totalmente atualizados. Para resolver isso, eles desenvolveram um micropatch mais abrangente, disponível através da solução 0Patch. Micropatching é um processo que visa vulnerabilidades pequenas e específicas, independentemente das atualizações do fornecedor, permitindo correções mais rápidas para os usuários. O patch do 0Patch evita que caminhos de rede iniciem vazamentos de credenciais em todas as versões do Home windows Workstation, bloqueando caminhos que a atualização da Microsoft não cobriu.
As diretrizes de segurança de 2011 da Microsoft descrevem uma abordagem “Hacking for Variations” (HfV), destinada a detectar múltiplas variantes de qualquer vulnerabilidade recentemente relatada. No entanto, a descoberta de Acros sugere que este processo de revisão pode ter sido insuficiente aqui. O micropatch fornece proteção, preenchendo as lacunas deixadas pelo patch mais recente da Microsoft.
Correção gratuita disponível para sistemas legados e suportados
Reconhecendo a urgência de proteger os usuários contra solicitações de rede não autorizadas, o 0Patch tornou o patch gratuito para todos os sistemas afetados. Esta correção abrange várias versões legadas e suportadas, do Home windows 10 (v1803) ao atual Home windows 11. Os sistemas suportados incluem:
- Edições legadas: Versões do Home windows 7 e Home windows 10 de v1803 a v1909, cada uma totalmente atualizada.
- Versões atuais do Home windows: Todas as versões do Home windows 10 v22H2 ao Home windows 11 v24H2 com atualizações completas.
O patch cobre apenas sistemas de estação de trabalho devido ao requisito de experiência de desktop em servidores, que normalmente não está ativo. Vazamentos de credenciais NTLM são menos prováveis em servidores, onde os arquivos de tema precisam ser abertos manualmente, aumentando o risco de exposição de credenciais apenas sob condições específicas. Para configurações de estações de trabalho, no entanto, a vulnerabilidade representa um risco mais direto, pois os usuários podem visualizar involuntariamente arquivos de temas maliciosos, levando a possíveis vazamentos de credenciais.
0Patch lança atualização automática para usuários PRO e Enterprise
O 0Patch aplicou o micropatch em todos os sistemas inscritos nos planos PRO e Enterprise com o 0patch Agent instalado, garantindo proteção instantânea aos usuários ativos. Em uma demonstração, 0Patch ilustrou como os sistemas Home windows 11 totalmente atualizados tentaram inicialmente se conectar a uma rede não autorizada quando um arquivo de tema malicioso foi colocado na área de trabalho. Após a ativação do micropatch do 0Patch, esta tentativa de conexão foi bloqueada, mantendo as credenciais seguras.