Post #4431

Распаковка ZIP архивы теперь крадут NetNTLM хеши пользователей Windows автоматически при разархивации. Уязвимость эксплуатирует особенность обработки .library-ms файлов в Проводнике Windows. Когда пользователь распаковывает ZIP с таким файлом, система автоматически инициирует SMB-аутентификацию к удалённому серверу, указанному в файле. Ссылка на SMB-ресурс лежит во вредоносный XML-файл .library-ms. Windows доверчиво пытается подключиться к этому серверу, передавая NetNTLM хеш текущего пользователя. Никакого дополнительного взаимодействия не требуется, достаточно просто извлечь архив. Злоумышленники уже активно используют эту лазейку в фишинговых кампаниях против государственных и частных организаций. Перехваченные NetNTLM хеши потом крякают оффлайн для получения паролей или используют в NTLM-relay атаках. Microsoft закрыла дыру в мартовском Patch Tuesday, но публичный POC уже гуляет по сети. Обновляйтесь, друзья. НеКасперский