{"id":294020,"date":"2024-04-04T10:51:40","date_gmt":"2024-04-04T08:51:40","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=294020"},"modified":"2024-04-04T11:04:49","modified_gmt":"2024-04-04T09:04:49","slug":"windows-ntlm-credentials-schwachstelle-cve-2024-21320-fix-durch-0patch","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/04\/04\/windows-ntlm-credentials-schwachstelle-cve-2024-21320-fix-durch-0patch\/","title":{"rendered":"Windows NTLM Credentials-Schwachstelle CVE-2024-21320: Fix durch 0patch"},"content":{"rendered":"

\"Windows\"[English<\/a>]In Windows gibt es eine Schwachstelle (CVE-2024-21320), die NTLM-Anmeldeinformationen \u00fcber Windows-Themen offen legt. Microsoft hat zwar im Januar 2024 die Schwachstelle CVE-2024-21320 mit einem Patch versehen. Dieser Patch stellt eine Richtlinie bereit, um das Abrufen der NTLM-Anmeldeinformationen zu verhindern, wenn Theme-Dateien auf Netzlaufwerken liegen,. ACROS Security hat nun einen Micropatch f\u00fcr den 0patch-Agenten ver\u00f6ffentlicht, der die Schwachstelle generell (ohne Registrierungseingriff) schlie\u00dft.<\/p>\n

<\/p>\n

Themes Spoofing (CVE-2024-21320)<\/h2>\n

\"\"Zum 9. Januar 2024 hat Microsoft die Themes-Spoofing-Schwachstelle CVE-2024-21320<\/a> in Windows offen gelegt. Die Schwachstelle erm\u00f6glicht einem Angreifer, die NTLM-Anmeldedaten eines Benutzers zu erlangen, wenn das Opfer einfach eine Theme-Datei aus herunterl\u00e4dt oder eine solche Datei in einem Netzwerkordner anzeigt.<\/p>\n

Hintergrund ist, dass das Theme-Dateiformat es einer .theme-Datei erm\u00f6glicht, zwei Bilder, BrandImage <\/em>und Wallpaper<\/em>, anzugeben. Befinden sich diese auf einer Remote-Netzwerkfreigabe, versucht der Windows Explorer diese Dateien automatisch zu laden, sobald eine Theme-Datei heruntergeladen oder in einem Ordner angezeigt wird. Ein Angreifer k\u00f6nnte dies ausnutzen, um Bilder f\u00fcr eine theme-Datei auf einer eigenen Netzwerk-Ressource zu hosten. Beim Zugriff auf die Bilder werden dann die NTLM-Anmeldeinformationen des Benutzers \u00fcbertragen, k\u00f6nnen abgefangen und zur Identifizierung des Benutzers verwendet werden.<\/p>\n

Der Sicherheitsforscher Tomer Peled<\/a> von Akamai hat die Schwachstelle entdeckt, es Microsoft gemeldet und sp\u00e4ter einen ausf\u00fchrlichen Artikel<\/a> sowie ein Proof of Concept<\/a> ver\u00f6ffentlicht.<\/p>\n

Microsofts Januar 2024-Patch<\/h2>\n

Da .theme-Dateien allgemein als gef\u00e4hrlich eingestuft werden, ist deren Empfang als Anhang einer Mail in Microsoft Outlook bereits blockiert. Microsoft hat der Privilege Escalation-Schwachstelle den CVSS 3.1-Index von 6.5 zugewiesen, stuft die Ausnutzung aber als wenig wahrscheinlich ein. Systeme, die NTLM deaktiviert haben, sind nicht betroffen. Im Januar 2024 hat Microsoft dann f\u00fcr die im Support befindlichen Windows-Versionen einen Sicherheitsfix per Update ausgerollt. Die Update-Pakete f\u00fcr Windows Server 2012 – 2022 sowie die Windows 10\/11-Clients werden im Artikel zu CVE-2024-21320<\/a> aufgelistet. Ist das Update installiert, l\u00e4sst sich die \u00dcbermittlung des NTLM-Hashes durch eine Gruppenrichtlinie per Registry unterbinden – Details im verlinkten Artikel.<\/p>\n

Die 0patch-L\u00f6sung<\/h2>\n

Mir ist nachfolgender Tweet<\/a> von ACROS Security\/0patch untergekommen, der sich auf den Blog-Beitrag Micropatches for Leaking NTLM Credentials Through Windows Themes (CVE-2024-21320)<\/a> bezieht.<\/p>\n

<\/a><\/p>\n

Der 0patch-Micropatch ist logisch identisch mit dem von Microsoft, wobei die Blockade der Bilder auf einem Netzwerkpfad hart kodiert ist und nicht \u00fcber die Registry konfiguriert werden kann bzw. muss. Dadurch sind die Systeme ohne GPO vor dieser Schwachstelle gesch\u00fctzt. Die Details lassen sich dem obigen 0patch-Blog-Beitrag entnehmen.<\/p>\n

Hinweise zur Funktionsweise des 0patch-Agenten, der die Micropatches zur Laufzeit einer Anwendung in den Speicher l\u00e4dt, finden Sie in den Blog-Posts (wie z.B. hier<\/a>). Hier im Blog habe ich ja h\u00e4ufiger \u00fcber 0patch-L\u00f6sungen berichtet, die am Ende des Beitrags Windows \"EventLogCrasher\" 0-Day-Schwachstelle crasht Event-Logging; 0patch Micro-Patch verf\u00fcgbar<\/a> verlinkt sind.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nMicrosoft Security Update Summary (9. Januar 2024)<\/a>
\nPatchday: Windows 10-Updates (9. Januar 2024)<\/a>
\nPatchday: Windows 11\/Server 2022-Updates (9. Januar 2024)<\/a>
\nWindows 7\/Server 2008 R2; Server 2012 R2: Updates (9. Januar 2024)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]In Windows gibt es eine Schwachstelle (CVE-2024-21320), die NTLM-Anmeldeinformationen \u00fcber Windows-Themen offen legt. Microsoft hat zwar im Januar 2024 die Schwachstelle CVE-2024-21320 mit einem Patch versehen. Dieser Patch stellt eine Richtlinie bereit, um das Abrufen der NTLM-Anmeldeinformationen zu verhindern, wenn … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301,3694],"tags":[7875,4328,3288],"class_list":["post-294020","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","category-windows-10","tag-0patch","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294020","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=294020"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294020\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=294020"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=294020"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=294020"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}