Chroń się: luki w zabezpieczeniach związane z wyciekiem skrótów NTLM w wersjach zapoznawczych Eksploratora plików systemu Windows

Chroń się: luki w zabezpieczeniach związane z wyciekiem skrótów NTLM w wersjach zapoznawczych Eksploratora plików systemu Windows

Ostatnie odkrycia ujawniły luki w zabezpieczeniach związane z panelem podglądu w Eksploratorze plików systemu Windows, gdzie mogą zostać ujawnione skróty haseł NTLM. Takie luki umożliwiają atakującym ponowne wykorzystanie lub złamanie tych danych uwierzytelniających w trybie offline. W odpowiedzi na to zagrożenie firma Microsoft wyłączyła podglądy plików dla pobranych treści w najnowszych aktualizacjach systemu Windows. Niniejszy przewodnik przedstawia podstawowe strategie ochrony przed potencjalnym wyciekiem skrótów NTLM poprzez podglądy Eksploratora plików.

Zrozumienie luk w zabezpieczeniach wersji zapoznawczych Eksploratora plików

NT LAN Manager (NTLM) to protokół uwierzytelniania opracowany przez firmę Microsoft dla różnych kont i usług systemu Windows. Chociaż został w dużej mierze wyparty przez Kerberos ze względu na braki w zabezpieczeniach, NTLM nadal jest używany ze względu na wsteczną kompatybilność. Niestety, jego obecność stwarza podatne na ataki zagrożenia.

Atakujący mogą wykorzystać funkcję podglądu w Eksploratorze plików do wykonywania żądań NTLM, które mogą ujawnić hasła lokalne lub domenowe w formie zaszyfrowanej. Jeśli w trakcie podglądu plik zawiera instrukcje dotyczące żądań NTLM, system Windows może nieumyślnie przetworzyć te żądania, przesyłając zaszyfrowane hasła do złośliwych serwerów. Cyberprzestępcy mogą wówczas próbować złamać te zaszyfrowane hasła offline lub przeprowadzić ataki typu pass-the-hash.

Firma Microsoft potwierdziła, że ​​zagrożenia związane z tymi atakami wciąż istnieją. W związku z tym, wraz z najnowszymi aktualizacjami, podglądy plików oznaczonych jako Mark of the Web (MoTW) – zazwyczaj plików pobranych z internetu – nie są już wyświetlane.

Zabezpieczanie systemu przed wyciekiem haseł NTLM

Aby zminimalizować ryzyko związane z wyciekiem haszy NTLM, zwłaszcza z plików pobieranych z internetu, użytkownicy muszą stosować określone praktyki bezpieczeństwa, ponieważ program Microsoft Defender nie wykrywa jednoznacznie prób żądań NTLM poprzez samo skanowanie plików. Poniżej przedstawiono praktyczne kroki, które pomogą wzmocnić ochronę:

  • Aktualizuj system Windows: Upewnij się, że Twój system operacyjny jest aktualny. Aktualizacja zabezpieczeń z 14 października wyłączyła podgląd plików MoTW. W systemie Windows 11 przejdź do UstawieniaWindows Update, aby sprawdzić i zainstalować dostępne aktualizacje.
  • Przeprowadź analizę behawioralną online: Standardowe skanowanie antywirusowe może nie wykryć szkodliwych żądań NTLM. Jeśli podejrzewasz, że plik może być złośliwy, skorzystaj z narzędzia do analizy behawioralnej, aby otworzyć plik w bezpiecznym środowisku (piaskownicy) i monitorować jego zachowanie. Narzędzia takie jak Joe Sandbox i MetaDefender to doskonałe opcje.
  • Zabezpiecz poświadczenia NTLM: Podejmij proaktywne kroki, aby zabezpieczyć swoje poświadczenia NTLM i znacznie zmniejszyć ryzyko skutecznego naruszenia bezpieczeństwa. W tym przewodniku omówiono szczegółowe metody zabezpieczania poświadczeń NTLM w systemie Windows.
  • Testowanie zachowania plików w maszynie wirtualnej: Utwórz środowisko wirtualne, aby ocenić zachowanie podejrzanych plików bez narażania systemu głównego. Możesz użyć Hyper-V lub aplikacji maszyn wirtualnych innych firm, aby obserwować aktywność sieciową podczas podglądu.
  • Wyłącz podglądy Eksploratora plików w całym systemie: Aby całkowicie zapobiec wyciekom haszy NTLM przez podglądy plików, rozważ całkowite wyłączenie programów obsługi podglądu. Otwórz Eksplorator plików, wybierz Opcje z menu „Więcej”, przejdź do karty „Widok” i odznacz opcję „ Pokaż programy obsługi podglądu w panelu podglądu”.
Wyłączanie obsługi podglądu w opcjach Eksploratora plików

Bezpieczne podglądanie zaufanych plików

Jeśli upewnisz się, że pobrany plik jest bezpieczny i chcesz go wyświetlić pomimo zmian wprowadzonych w najnowszej aktualizacji systemu Windows, musisz odblokować plik. Oto jak to zrobić:

Kliknij plik prawym przyciskiem myszy i wybierz Właściwości. Na karcie Ogólne znajdź sekcję Zabezpieczenia i zaznacz pole Odblokuj przed potwierdzeniem zmian. Umożliwi to podgląd pliku.

Opcja Odblokuj plik we właściwościach pliku

Jednak odblokowywanie plików pojedynczo może być żmudne. Aby odblokować zbiorczo, użyj polecenia programu PowerShell w wyznaczonym folderze, w którym zapisane są wszystkie pliki. Przytrzymaj klawisz Shift, kliknij prawym przyciskiem myszy puste miejsce i wybierz opcję „ Otwórz okno programu PowerShell tutaj”.

Klasyczne menu kontekstowe Windows 11

W programie PowerShell wykonaj poniższe polecenie:

Get-ChildItem -File | Unblock-File

Uruchamianie polecenia unblock w programie PowerShell

Spowoduje to odblokowanie wszystkich plików w określonym folderze i umożliwi ich podgląd.

Chociaż brak możliwości domyślnego podglądu plików może być irytujący, takie środki bezpieczeństwa są kluczowe dla bezpieczeństwa, dopóki NTLM nie zostanie ostatecznie wycofany w przyszłych wersjach systemu Windows. Ponadto, konsekwentne stosowanie silnych i unikalnych haseł może pomóc złagodzić konsekwencje potencjalnego ujawnienia haseł NTLM.

Źródło i obrazy

Powiązane artykuły:

Jak włączyć nowe i ulepszone menu Start w systemie Windows 11
10 niezależnych gier wideo, które sprawiają wrażenie gier AAA

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *