安全热点周报：新的 Windows 零日漏洞暴露 NTLM 凭据，已获得非官方补丁

奇安信 CERT · 公众号 · · 2024-12-09 18:04

正文

请到「今天看啥」查看全文

新增在野利用

1. Windows 资源管理器 NTLM 凭证泄露漏洞(QVD-2024-49630)

12月6日，发现了一个新的零日漏洞，攻击者只需诱骗目标查看 Windows 资源管理器中的恶意文件即可捕获 NTLM 凭据。该漏洞由为 Windows 旧版本提供非官方支持的平台 0patch 团队发现，并已报告给微软。但目前尚未发布官方修复程序。

据 0patch 称，该问题目前没有 CVE ID，影响从 Windows 7 和 Server 2008 R2 到最新的 Windows 11 24H2 和 Server 2022 的所有 Windows 版本。0patch 一直隐瞒该零日漏洞的技术细节，直至微软提供官方修复程序，以防止引发大规模恶意利用。

研究人员解释说，攻击只需在文件资源管理器中查看特制的恶意文件即可进行，因此无需打开该文件。

0patch 解释道：“该漏洞允许攻击者通过让用户在 Windows 资源管理器中查看恶意文件来获取用户的 NTLM 凭据 - 例如，打开包含此类文件的共享文件夹或 USB 磁盘，或者查看之前从攻击者的网页自动下载此类文件的下载文件夹。”

虽然 0Patch 没有分享有关该漏洞的更多细节，但它会强制将 NTLM 连接传出到远程共享。这会导致 Windows 自动向登录用户发送 NTLM 哈希，然后攻击者就可以窃取这些哈希。这些哈希可以被破解，从而使威胁行为者能够访问登录名和纯文本密码。微软一年前宣布计划在未来的 Windows 11 中取消 NTLM 身份验证协议。

0patch 指出这是他们最近向微软报告的第三个零日漏洞，但该供应商尚未立即采取行动解决。0patch 将向其平台上注册的所有用户提供最新 NTLM 零日漏洞的免费微补丁，直到微软提供官方修复为止。

参考链接：

https://www.bleepingcomputer.com/news/security/new-windows-zero-day-exposes-ntlm-credentials-gets-unofficial-patch/

2. CyberPanel 权限提升漏洞(CVE-2024-51378)

12月4日，美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞 (KEV) 目录中添加 CyberPanel 权限提升漏洞(CVE-2024-51378)

CVE-2024-51378 是 CyberPanel 版本 2.3.6 和 2.3.7 中的一个严重漏洞，CVSS 评分为 9.8，允许未经身份验证的远程代码执行 (RCE)。据报道，威胁行为者（包括 PSAUX 勒索软件组织）利用此漏洞加密服务器文件并部署勒索软件负载。公开的概念验证可用。CVE-2024-51378 的利用已导致全球范围内大量 CyberPanel 实例受到攻击，其中大部分集中在美国。成功的攻击会导致完全控制服务器、未经授权访问敏感域以及潜在的数据泄露。强烈建议受影响的 CyberPanel 版本的用户更新到最新版本以减轻这些风险。

攻击者可以利用此漏洞通过向位于 dns/views.py 和 ftp/views.py 中的 /dns/getresetstatus 和 /ftp/getresetstatus 端点发送精心设计的 OPTIONS HTTP 请求来获得根级访问权限。这可能是由于缺乏适当的输入验证。因此，攻击者可以使用“;”突破预期的代码路径，并在无需向服务器进行身份验证的情况下执行他们选择的命令。

威胁情报搜索引擎 LeakIX报告称，有21,761个存在漏洞的CyberPanel实例在网上曝光，其中近一半（10,170个）位于美国。然而，一夜之间，实例数量神秘地下降到仅剩约 400 个，受影响的服务器不再可访问。网络安全研究员 Gi7w0rm 在 X 上发推文称，这些实例管理着超过 152,000 个域和数据库，而 CyberPanel 充当了其中的中央访问和管理系统。威胁行为者大规模利用暴露的 CyberPanel 服务器来安装PSAUX 勒索软件。

由于 CyberPanel 漏洞遭到积极利用，强烈建议用户尽快升级到GitHub 上的最新版本。

参考链接：

https://www.sonicwall.com/blog/critical-cyberpanel-vulnerability-cve-2024-51378-how-to-stay-protected

PART 0 3

安全事件

1.百年伏特加知名品牌因勒索软件攻击宣布破产