
Semua versi klien Windows, dari Windows 7 hingga versi Windows 11 saat ini, mengandung kerentanan 0 hari yang memungkinkan penyerang menangkap hash autentikasi NTLM dari pengguna sistem yang terpengaruh.
Para peneliti di ACROS Security melaporkan kelemahan tersebut ke Microsoft minggu ini. Mereka menemukan masalah ini saat menulis patch untuk sistem Windows lama CVE-2024-38030kerentanan spoofing Tema Windows dengan tingkat keparahan sedang yang telah dimitigasi oleh Microsoft Pembaruan keamanan bulan Juli.
Varian dari Dua Kerentanan Sebelumnya
Kerentanan itu ACROS ditemukan sangat mirip dengan CVE-2024-38030 dan memungkinkan apa yang dikenal sebagai serangan paksaan autentikasi, di mana perangkat yang rentan pada dasarnya dipaksa mengirim hash NTLM — representasi kriptografi dari kata sandi pengguna — ke sistem penyerang. Peneliti Akamai Tomer Peled telah menemukan CVE-2024-38030 saat menganalisis perbaikan Microsoft CVE-2024-21320kerentanan spoofing tema Windows sebelumnya lainnya dia menemukan dan dilaporkan ke Microsoft. Cacat yang ditemukan ACROS adalah kerentanan baru dan terpisah terkait dengan dua kelemahan yang dilaporkan Peled sebelumnya.
File tema Windows memungkinkan pengguna untuk menyesuaikan tampilan antarmuka desktop Windows mereka melalui wallpaper, screen saver, warna, dan suara. Kedua kerentanan yang ditemukan oleh peneliti Akamai, Peled, berkaitan dengan cara tema menangani jalur file ke beberapa sumber gambar, khususnya “BrandImage” atau “Wallpaper”. Peled menemukan bahwa karena validasi yang tidak tepat, penyerang dapat memanipulasi jalur sah ke sumber daya ini sedemikian rupa sehingga membuat Windows secara otomatis mengirimkan permintaan yang diautentikasi, bersama dengan hash NTLM pengguna, ke perangkat penyerang.
Seperti yang dijelaskan Peled kepada Dark Reading, “Format file tema adalah file .ini, dengan beberapa pasangan 'kunci, nilai'. Saya awalnya menemukan dua pasangan kunci, nilai yang dapat menerima jalur file,” katanya.
Kerentanan asli (CVE-2024-21320) berasal dari fakta bahwa pasangan kunci dan nilai menerima jalur UNC – format standar untuk mengidentifikasi sumber daya jaringan seperti file dan folder bersama – untuk drive jaringan, catat Peled. “Ini [meant] bahwa file tema yang dipersenjatai, dengan jalur UNC, dapat memicu koneksi keluar dengan otentikasi pengguna, tanpa mereka sadari.” Microsoft memperbaiki masalah ini dengan menambahkan tanda centang pada jalur file untuk memastikan itu bukan jalur UNC. Namun, Peled mengatakan, fungsi yang digunakan Microsoft untuk validasi ini memungkinkan beberapa bypass, yang menyebabkan Peled menemukan kerentanan kedua (CVE-2024-38030).
Microsoft Akan Bertindak 'Sesuai Kebutuhan'
Apa yang dilaporkan ACROS Security minggu ini adalah kerentanan spoofing tema Windows ketiga yang berakar pada masalah jalur file yang sama. “Peneliti kami menemukan kerentanan tersebut pada awal Oktober saat menulis patch untuk CVE-2024-38030 yang ditujukan untuk sistem Windows lama yang masih digunakan oleh banyak pengguna kami,” kata Mitja Kolsek, CEO ACROS Security. “Kami melaporkan masalah ini ke Microsoft [on] 28 Oktober 2024, namun kami tidak merilis detail atau bukti konsep, yang rencananya akan kami lakukan setelah Microsoft membuat patch mereka tersedia untuk umum.”
Juru bicara Microsoft mengatakan melalui email bahwa perusahaan mengetahui laporan ACROS dan “akan mengambil tindakan yang diperlukan untuk membantu menjaga pelanggan tetap terlindungi.” Perusahaan tampaknya belum mengeluarkan CVE, atau pengidentifikasi kerentanan, untuk masalah baru ini.
Seperti dua kerentanan spoofing tema Windows sebelumnya yang ditemukan Akamai, kerentanan baru yang ditemukan ACROS juga tidak mengharuskan penyerang memiliki hak istimewa apa pun. “Tetapi mereka harus membuat pengguna menyalin file tema ke folder lain di komputer mereka, lalu membuka folder itu dengan Windows Explorer menggunakan tampilan yang menampilkan ikon,” kata Kolsek. “File tersebut juga dapat diunduh secara otomatis ke folder Unduhan mereka saat berkunjung [an] situs web penyerang, dalam hal ini penyerang harus menunggu pengguna melihat folder Unduhan di lain waktu.”
Kolsek merekomendasikan agar organisasi menonaktifkan NTLM jika memungkinkan, namun mengakui bahwa hal itu dapat menyebabkan masalah fungsional jika ada komponen jaringan yang bergantung padanya. “[An] penyerang hanya dapat berhasil menargetkan komputer yang mengaktifkan NTLM,” katanya. “Persyaratan lainnya adalah permintaan yang dimulai oleh file tema berbahaya akan dapat menjangkau server penyerang di Internet atau di jaringan yang berdekatan,” sesuatu yang merupakan firewall. biasanya harus diblokir, katanya. Akibatnya, kemungkinan besar penyerang akan mencoba mengeksploitasi kelemahan dalam kampanye yang ditargetkan dibandingkan dengan eksploitasi massal.
Peled dari Akamai mengatakan sulit untuk mengetahui apa kerentanan ACROS tanpa memiliki akses terhadap rincian teknis. “Tetapi mungkin ada jalan pintas UNC lain yang menghindari pemeriksaan tersebut, atau mungkin ada pasangan kunci dan nilai berbeda yang terlewat dalam tambalan awal,” katanya. “Format jalur UNC sangat kompleks dan memungkinkan adanya kombinasi aneh, sehingga membuat pendeteksiannya menjadi sangat sulit. Mungkin inilah sebabnya mengapa sangat rumit untuk memperbaikinya.”