Вразливість безпеки, що впливає на Windows NT LAN Manager (NTLM), стала інструментом для кібератак проти України, ймовірно, організованих суб’єктом, пов’язаним із росією. Ця вразливість, відома під ідентифікатором CVE-2024-43451 із CVSS-рейтингом 6,5. Вона дозволяє здійснювати атаки за допомогою підробки NTLM-хешів, викрадаючи NTLMv2-хеш користувача.
Як працює атака
Цей тип атаки називається атакою нульового дня. Він здійснюється через взаємодію з небезпечним файлом, де мінімальна дія, клік чи перевірка файлу, може активувати уразливість. Фішингові листи були розіслані з компрометованого сервера української державної служби doc.osvita-kp.gov.ua. Вони пропонували отримувачам продовжити академічні сертифікати, натиснувши на шкідливу URL-адресу. Це призводило до завантаження ZIP-архіву з шкідливим файлом, а подальші дії з файлом URL викликали активність, що завантажувала Remote Access Trojan.
Ця вразливість використовує URL-файли для з’єднання з віддаленим сервером, що дозволяє зловмисникам здійснювати так звані Pass-the-Hash атаки. При викраденні NTLM-хешу через протокол Server Message Block, зловмисники можуть видавати себе за користувача, чий кеш викрали. Це дозволяє отримувати доступ до особистих даних, не використовуючи паролі.
Команда CERT-UA пов’язала цю кібератаку з підозрюваною російською групою UAC-0194, яка вже брала участь у схожих операціях. І хоча на момент понеділка, 11 листопада, компанія Microsoft виправила недолік уразливості, ймовірність кіберзагрози залишається.