Windows NTLM Credentials-Schwachstelle CVE-2024-21320: Fix durch 0patch

Windows[English]In Windows gibt es eine Schwachstelle (CVE-2024-21320), die NTLM-Anmeldeinformationen über Windows-Themen offen legt. Microsoft hat zwar im Januar 2024 die Schwachstelle CVE-2024-21320 mit einem Patch versehen. Dieser Patch stellt eine Richtlinie bereit, um das Abrufen der NTLM-Anmeldeinformationen zu verhindern, wenn Theme-Dateien auf Netzlaufwerken liegen,. ACROS Security hat nun einen Micropatch für den 0patch-Agenten veröffentlicht, der die Schwachstelle generell (ohne Registrierungseingriff) schließt.


Anzeige

Themes Spoofing (CVE-2024-21320)

Zum 9. Januar 2024 hat Microsoft die Themes-Spoofing-Schwachstelle CVE-2024-21320 in Windows offen gelegt. Die Schwachstelle ermöglicht einem Angreifer, die NTLM-Anmeldedaten eines Benutzers zu erlangen, wenn das Opfer einfach eine Theme-Datei aus herunterlädt oder eine solche Datei in einem Netzwerkordner anzeigt.

Hintergrund ist, dass das Theme-Dateiformat es einer .theme-Datei ermöglicht, zwei Bilder, BrandImage und Wallpaper, anzugeben. Befinden sich diese auf einer Remote-Netzwerkfreigabe, versucht der Windows Explorer diese Dateien automatisch zu laden, sobald eine Theme-Datei heruntergeladen oder in einem Ordner angezeigt wird. Ein Angreifer könnte dies ausnutzen, um Bilder für eine theme-Datei auf einer eigenen Netzwerk-Ressource zu hosten. Beim Zugriff auf die Bilder werden dann die NTLM-Anmeldeinformationen des Benutzers übertragen, können abgefangen und zur Identifizierung des Benutzers verwendet werden.

Der Sicherheitsforscher Tomer Peled von Akamai hat die Schwachstelle entdeckt, es Microsoft gemeldet und später einen ausführlichen Artikel sowie ein Proof of Concept veröffentlicht.

Microsofts Januar 2024-Patch

Da .theme-Dateien allgemein als gefährlich eingestuft werden, ist deren Empfang als Anhang einer Mail in Microsoft Outlook bereits blockiert. Microsoft hat der Privilege Escalation-Schwachstelle den CVSS 3.1-Index von 6.5 zugewiesen, stuft die Ausnutzung aber als wenig wahrscheinlich ein. Systeme, die NTLM deaktiviert haben, sind nicht betroffen. Im Januar 2024 hat Microsoft dann für die im Support befindlichen Windows-Versionen einen Sicherheitsfix per Update ausgerollt. Die Update-Pakete für Windows Server 2012 – 2022 sowie die Windows 10/11-Clients werden im Artikel zu CVE-2024-21320 aufgelistet. Ist das Update installiert, lässt sich die Übermittlung des NTLM-Hashes durch eine Gruppenrichtlinie per Registry unterbinden – Details im verlinkten Artikel.


Anzeige

Die 0patch-Lösung

Mir ist nachfolgender Tweet von ACROS Security/0patch untergekommen, der sich auf den Blog-Beitrag Micropatches for Leaking NTLM Credentials Through Windows Themes (CVE-2024-21320) bezieht.

Der 0patch-Micropatch ist logisch identisch mit dem von Microsoft, wobei die Blockade der Bilder auf einem Netzwerkpfad hart kodiert ist und nicht über die Registry konfiguriert werden kann bzw. muss. Dadurch sind die Systeme ohne GPO vor dieser Schwachstelle geschützt. Die Details lassen sich dem obigen 0patch-Blog-Beitrag entnehmen.

Hinweise zur Funktionsweise des 0patch-Agenten, der die Micropatches zur Laufzeit einer Anwendung in den Speicher lädt, finden Sie in den Blog-Posts (wie z.B. hier). Hier im Blog habe ich ja häufiger über 0patch-Lösungen berichtet, die am Ende des Beitrags Windows "EventLogCrasher" 0-Day-Schwachstelle crasht Event-Logging; 0patch Micro-Patch verfügbar verlinkt sind.

Ähnliche Artikel:
Microsoft Security Update Summary (9. Januar 2024)
Patchday: Windows 10-Updates (9. Januar 2024)
Patchday: Windows 11/Server 2022-Updates (9. Januar 2024)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (9. Januar 2024)


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows, Windows 10 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Windows NTLM Credentials-Schwachstelle CVE-2024-21320: Fix durch 0patch

  1. Bernhard Diener sagt:

    Moin.

    "Der 0patch-Micropatch ist logisch identisch mit dem von Microsoft, wobei die Blockade der Bilder auf einem Netzwerkpfad hart kodiert ist und nicht über die Registry konfiguriert werden kann bzw. muss. Dadurch sind die Systeme ohne GPO vor dieser Schwachstelle geschützt. Die Details lassen sich dem obigen 0patch-Blog-Beitrag entnehmen."

    Dazu stelle ich fest: auf Systemen, die den Microsoft-Patch installiert haben, gibt es besagten Registryeintrag "DisableThumbnailOnNetworkFolder" nicht. Auch ist weder bei MS noch bei 0Patch dokumentiert, welche GPO das denn sein soll. Bei 0Patch steht nicht einmal etwas von einer GPO.

    Kann das jemand aufklären?

    • Singlethreaded sagt:

      Dieser Patch hilft nur gegen das Laden der Remote-Bilder, wenn diese im Explorer angezeigt werden (Vorschaubild). Wenn ein Anwender die Datei öffnet, dann greift der Patch nicht. Steht auch so im Artikel von 0patch:

      "It is worth noting that neither Microsoft's nor our patch prevents the remote loading of these images in case the user actually opens a Theme file (e.g., by double-clicking on it) in order to apply the theme."

      Der Registrierungsschlüssel "DisableThumbnailOnNetworkFolder" soll sich gemäß des Akamai-Reports hier befinden:

      HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Mitigation

      Diesen könnte man z.B. per GPO anlegen. Ich würde aber besser dafür sorgen, dass:

      1. .theme Dateien aus allen Mails herausgefiltert werden
      2. Die Firewall ausgehenden SMB-Traffic blockiert und die Clients somit keine externen Server per SMB erreichen können. Gleiches Spiel, wie letztes bei der Lücke in Outlook (CVE-2023-23397)

  2. Stefan sagt:

    Die GPO Steht im verlinkten Microsoft-Artikel. Den Registry_key konnte ich auch nicht finden, allerdings kann man im Eventlog von NTLM dann entsprechend Einträge finden, wenn die Richtlinie konfiguriert wurde.
    NTLM client blocked: Outgoing NTLM authentication traffic to remote servers that is blocked.

    • Bernhard Diener sagt:

      Die GPO "NTLM client blocked: Outgoing NTLM authentication traffic to remote servers that is blocked" ist 15 Jahre alt und hat mit dem Patch nichts zu tun. Sie wird nur als allgemeine Mitigation empfohlen.

  3. Bernhard Diener sagt:

    Danke dafür. Es bleibt unklar, warum dieser Registrywert weder existent nocht dokumentiert ist: siehe Google: https://www.google.com/search?q=%22Mitigation%22+%22DisableThumbnailOnNetworkFolder%22

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.