Windows 11-zeroday lekt inloggegevens van gebruikers
Het lek in de Windows New Technology LAN Manager (NTLM) werd ontdekt door onderzoekers van het beveiligingsbedrijf ACROS. Volgens hen is het bekijken van een besmet themabestand via de Verkenner-app in Windows 11 al voldoende om de inloggegevens van gebruikers uit te lezen. Telkens wanneer zo’n themabestand wordt bekeken, stuurt Windows automatisch een geverifieerd netwerkverzoek naar externe hosts, inclusief de authenticatiegegevens van NTLM.
Dit lek is op zich overigens niet nieuw: Microsoft bracht eerder al patches uit voor een vergelijkbaar lek (CVE-2024-21320). Om te voorkomen dat kwaadwillenden inloggegevens konden inzien, werd een PathIsUNC-controle toegevoegd. Hiermee controleert de Verkenner-app de bron van het verzoek. Als het om een netwerkpad gaat, wordt het verzoek genegeerd. De geboden oplossing blijkt echter niet waterdicht, meldt ACROS Security.
Ook een tweede patch van Microsoft om hackers te blokkeren, blijkt niet effectief, volgens de onderzoekers. Er is nog een andere route die hackers misbruiken om zo’n lek uit te buiten, en dat lek beperkt zich niet tot Windows 11. Alle Windows-versies van Windows 7 tot en met 11 zijn kwetsbaar. Het blijft voorlopig wachten op een officiële patch.
Onofficiële patch via 0patch
Intussen heeft het beveiligingsbedrijf wel een onofficiële patch uitgebracht voor gebruikers van 0patch. Wanneer Microsoft de kwetsbaarheid (CVE-2024-38030) oplost, is nog onzeker. Het is ook nog maar de vraag of er een oplossing volgt voor gebruikers van Windows 7 en 8, aangezien Microsoft deze besturingssystemen al een tijdje niet meer ondersteunt. Houd in de tussentijd in elk geval Windows Update in de gaten voor een beveiligingspatch; deze volgt mogelijk al met de Patch Tuesday-update van november.
