Уразливість в Windows дозволяє зловмисникам викрадати хеші паролів NTLM без будь-якої участі користувача. Проексплуатувати вразливість досить легко, і для здійснення атаки не потрібні особливі технічні навички. Все, що потрібно - додавати зловмисний SCF-файл в загальнодоступну папку Windows.

Після додавання в папку файл виконується, а потім збирає хеші паролів NTLM і відправляє їх на підконтрольний зловмисникам сервер. За допомогою легкодоступного ПО атакуючі можуть зламати хеш і отримати доступ до комп'ютерів жертв. Отримавши безпосередній доступ до мережі, де знаходиться атакований комп'ютер, хакери здатні ескаліровать доступ до сусідніх системам.

Проблема не зачіпає загальні папки з пральний захистом. Оскільки пароль є в Windows опцією за замовчуванням, багатьом користувачам нічого боятися. Проте, в компаніях, школах та інших організаціях для зручності користування загальні папки паролем не захищені, що робить їх уразливими.

Уразливість була виявлена ??колумбійським дослідником безпеки Хуаном Дієго (Juan Diego). У квітні поточного року Дієго повідомив Microsoft про проблему, і в жовтні компанія випустила патч в рамках планових оновлень. Однак виправлення призначене тільки для Windows 10 і Windows Server 2016. Решта версій ОС залишаються уразливими, оскільки модифікації реєстру не сумісні з більш ранніми версіями Windows Firewall.

Як повідомив Дієго порталу Bleeping Computer, виготовлений Microsoft бюлетень ADV170014 дійсно виправляє проблему, однак дослідник так і не зміг визначити причину її появи. «Атака здійснюється автоматично. Причина, що робить її можливою, до сих пір мені не ясна. Microsoft зберігає всі у великому секреті », - зазначив Дієго.

NTLM (NT LAN Manager) - протокол мережевий аутентифікації, розроблений фірмою Microsoft для Windows NT.