Уязвимость Windows даёт доступ к паролям учётной записи Microsoft и данным VPN

Уязвимость в обработке системой Windows старых процедур аутентификации для сетевых ресурсов может раскрыть логин и пароль учётных записей Microsoft или VPN при их использовании. Эксплоит задействует внедрение ссылки в ресурс SMB внутри веб-страницы или электронного письма, просматриваемого через Outlook.

Хакеры могут поместить ссылки внутри изображений, перенаправляя пользователей в собственную сеть. При переходе по ссылке через Internet Explorer, Edge или Outlook из-за метода аутентификации Windows компьютер пользователя автоматически отсылает идентификационные данные на домен злоумышленников, даже через глобальную сеть.

Хотя пароли учётной записи Microsoft передаются не в виде простого текста, а как хеш NTLM, их можно взломать. Это далеко не новая проблема, известная с 1997 года и неоднократно обсуждавшаяся на конференциях безопасности, вроде Black Hat.

Ранее логины и пароли учётной записи системы хранились на самих компьютерах, но с выходом Windows 8 появилась возможность входить на них через учётные записи Microsoft. В Windows 10 это стало методом аутентификации по умолчанию, так что проблема стала намного более опасной.

Причина - Microsoft в последние годы стала привязывать свои сетевые сервисы к учётной записи. Теперь у старой атаки появились новые возможности, так как данные учётной записи Microsoft открывают двери в Skype, Xbox, OneDrive, Office 360, MSN, Bing, Azure.

За 19 лет уязвимость не была закрыта и решением пока является блокировка в брандмауэре порта 445 для исходящих соединений SMB, за исключением локальных сетей. Ещё лучше - не использовать учётную запись Microsoft для входа в систему.