Een zero-day in Windows maakt het mogelijk dat een kwaadwillende toegang krijgt tot inloggegevens. Hoewel Microsoft eerder probeerde dit probleem op te lossen, blijkt de kwetsbaarheid nog steeds aanwezig in de nieuwste versie Windows 11 24H2.

Daar waarschuwen securityonderzoekers van ACROS Security voor. De zero-day houdt verband met de Windows New Technology LAN Manager (NTLM). Dit securityprotocol, dat Microsoft gebruikt voor gebruikersauthenticatie, verzorgt de bescherming van de inloggegevens nadat een gebruikersnaam en wachtwoord zijn ingevoerd. NTLM fungeert vervolgens als een Single Sign-On (SSO)-tool.

Cybercriminelen hebben in het verleden al misbruik gemaakt van NTLM. Ze dwongen kwetsbare netwerkapparaten om zich te authenticeren bij door hen gecontroleerde servers en ze plaatsten malware op systemen om gehashte wachtwoorden in NTLM-hashes te verkrijgen.

Windows blijft kwetsbaar

Vorig jaar ontdekte Akamai dat een themabestand met een network file path Windows ertoe kan brengen om automatisch geauthenticeerde netwerkverzoeken naar externe hosts te sturen, inclusief NTLM-inloggegevens wanneer het themabestand in Verkenner werd bekeken. Microsoft pakte dit probleem toen aan met een patch.

Hackers bleken echter in staat om de patch te omzeilen en verdere kwaadaardige activiteiten uit te voeren, wat Microsoft dwong tot een tweede patch. ACROS Security onderzocht deze vervolgens en ontdekte dat de kwetsbaarheid nog steeds aanwezig is via een andere route. Dit probleem treft meerdere versies van het besturingssysteem, van Windows 7 tot de nieuwste versie van Windows 11.

Microsoft heeft nog geen officiële oplossing die de nieuw ontdekte kwetsbaarheid volledig aanpakt. Daarom heeft ACROS Security een onofficiële patch uitgebracht om de beveiligingslekken in de Windows-themabestanden te dichten.

