Microsoft исправила утечку хэшей через иконки — и открыла её через исполняемые файлы
Исследователи из Cymulate Research Labs о новой уязвимости в Windows, которая позволяет обойти недавний патч Microsoft и вновь привести к утечке NTLM-хэшей без каких-либо действий со стороны пользователя. Проблема получила идентификатор CVE-2025-50154 и фактически сводит на нет защиту, выпущенную весной для закрытия другой уязвимости (CVE-2025-24054).
NTLM (New Technology LAN Manager) — это семейство протоколов аутентификации Microsoft, используемое для проверки учетных данных и защиты сетевых соединений. Несмотря на защиту в NTLMv2 от устаревших методов вроде «радужных таблиц», перехваченные хэши всё равно можно использовать для атак: их можно попытаться взломать офлайн или применить в так называемых relay-атаках, когда украденный хэш пересылается другому сервису для входа под видом жертвы. Если при этом атакованный аккаунт обладает высокими правами, злоумышленник может быстро получить полный контроль над сетью.
Ранее обнаруженная позволяла через специально созданный ярлык вынудить систему автоматически отправить NTLM-хэш при обращении к удалённому файлу иконки. Microsoft выпустила обновление, которое блокировало этот сценарий. Однако новые тесты показали, что патч оказался неполным: если ярлык ссылается на удалённый исполняемый файл, а иконка берётся из стандартной библиотеки Windows, система всё равно автоматически загружает бинарник и при этом раскрывает NTLM-хэш. Причём всё это происходит без кликов и действий со стороны пользователя — достаточно лишь того, что Explorer попытается отобразить значок.
Хотя загруженный файл не запускается сразу, сам факт его появления на компьютере создаёт плацдарм для будущей атаки. Такой бинарник может долго оставаться незамеченным антивирусами и другими системами защиты, а в дальнейшем быть использован для кражи данных, установки вредоносного ПО или распространения по сети.
По сути, исследователям удалось показать, что «заплатка» Microsoft закрыла только часть проблемы. Новый баг снова открывает путь к утечке учетных данных и закладке потенциально опасных файлов на устройствах. Microsoft уже признала уязвимость и готовит обновление, которое должно устранить её окончательно.
Эксперты отмечают, что этот случай хорошо иллюстрирует, почему даже после выхода официальных исправлений важно проводить независимое тестирование и применять многоуровневую защиту. Одной лишь установки патчей порой недостаточно, чтобы полностью исключить риски.
Подробнее:
Исследователи из Cymulate Research Labs о новой уязвимости в Windows, которая позволяет обойти недавний патч Microsoft и вновь привести к утечке NTLM-хэшей без каких-либо действий со стороны пользователя. Проблема получила идентификатор CVE-2025-50154 и фактически сводит на нет защиту, выпущенную весной для закрытия другой уязвимости (CVE-2025-24054).
NTLM (New Technology LAN Manager) — это семейство протоколов аутентификации Microsoft, используемое для проверки учетных данных и защиты сетевых соединений. Несмотря на защиту в NTLMv2 от устаревших методов вроде «радужных таблиц», перехваченные хэши всё равно можно использовать для атак: их можно попытаться взломать офлайн или применить в так называемых relay-атаках, когда украденный хэш пересылается другому сервису для входа под видом жертвы. Если при этом атакованный аккаунт обладает высокими правами, злоумышленник может быстро получить полный контроль над сетью.
Ранее обнаруженная позволяла через специально созданный ярлык вынудить систему автоматически отправить NTLM-хэш при обращении к удалённому файлу иконки. Microsoft выпустила обновление, которое блокировало этот сценарий. Однако новые тесты показали, что патч оказался неполным: если ярлык ссылается на удалённый исполняемый файл, а иконка берётся из стандартной библиотеки Windows, система всё равно автоматически загружает бинарник и при этом раскрывает NTLM-хэш. Причём всё это происходит без кликов и действий со стороны пользователя — достаточно лишь того, что Explorer попытается отобразить значок.
Хотя загруженный файл не запускается сразу, сам факт его появления на компьютере создаёт плацдарм для будущей атаки. Такой бинарник может долго оставаться незамеченным антивирусами и другими системами защиты, а в дальнейшем быть использован для кражи данных, установки вредоносного ПО или распространения по сети.
По сути, исследователям удалось показать, что «заплатка» Microsoft закрыла только часть проблемы. Новый баг снова открывает путь к утечке учетных данных и закладке потенциально опасных файлов на устройствах. Microsoft уже признала уязвимость и готовит обновление, которое должно устранить её окончательно.
Эксперты отмечают, что этот случай хорошо иллюстрирует, почему даже после выхода официальных исправлений важно проводить независимое тестирование и применять многоуровневую защиту. Одной лишь установки патчей порой недостаточно, чтобы полностью исключить риски.
Подробнее:
