CVE-2024-43451

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-11-12

Официальное описание

Microsoft Windows contains an NTLMv2 hash spoofing vulnerability that could result in disclosing a user's NTLMv2 hash to an attacker via a file open operation. The attacker could then leverage this hash to impersonate that user.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-43451 представляет собой критическую уязвимость в Microsoft Windows, связанную с обработкой NTLMv2-хэшей. Проблема заключается в том, что простое взаимодействие с вредоносным файлом (например, выбор файла, щелчок правой кнопкой мыши или выполнение операции «открыть») инициирует автоматическую попытку аутентификации через протокол NTLM. В процессе этой попытки клиентская машина отправляет NTLMv2-хэш пользователя на сервер злоумышленника. Получив хэш, атакующий может использовать его для проведения атак типа «перебор пароля» (brute-force) или для аутентификации от имени жертвы в сетевых сервисах (Pass-the-Hash).

Как исправить

Основным и наиболее эффективным методом устранения уязвимости является установка официальных обновлений безопасности Microsoft от ноября 2024 года.

  1. Запустите поиск обновлений через Центр обновления Windows:
control /name Microsoft.WindowsUpdate
  1. Для автоматизированной установки необходимых KB (Knowledge Base) через PowerShell (требуется модуль PSWindowsUpdate):
Install-WindowsUpdate -MicrosoftUpdate -AcceptAll -AutoReboot
  1. Убедитесь, что установлены кумулятивные обновления, соответствующие вашей версии ОС (например, для Windows 10/11 это пакеты за ноябрь 2024 года или более поздние).

Временные меры

Если немедленная установка патчей невозможна, необходимо ограничить использование протокола NTLM и исходящий трафик.

  1. Блокировка исходящего трафика SMB (порт 445) за пределы корпоративной сети на сетевом экране (Firewall), чтобы предотвратить утечку хэшей на внешние серверы:
New-NetFirewallRule -DisplayName "Block Outbound SMB" -Direction Outbound -LocalPort 445 -Protocol TCP -Action Block
  1. Настройка групповой политики для ограничения NTLM (Outgoing NTLM traffic to remote servers). Установка значения «Deny all»:
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa\MSV1_0" -Name "RestrictSendingNTLMTraffic" -Value 2 -Type DWord
  1. Добавление пользователей в группу «Protected Users» в Active Directory, что автоматически запрещает использование NTLM для этих учетных записей:
Add-ADGroupMember -Identity "Protected Users" -Members "username"
  1. Отключение предварительного просмотра файлов в проводнике (Windows Explorer), чтобы минимизировать риск автоматического срабатывания уязвимости при навигации по папкам:
Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" -Name "ShowPreviewHandlers" -Value 0
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей