![Festa delle Offerte di Primavera Amazon: Ecco gli sconti del 29 Marzo [IN DIRETTA]](https://www.ispazio.net/wp-content/uploads/2025/03/offerte-primavera-29-marzo.jpg)
/https://www.ilsoftware.it/app/uploads/2023/06/2-22.jpg)
/https://www.ilsoftware.it/app/uploads/2025/03/1-TECNO-12.jpg)
/https://www.ilsoftware.it/app/uploads/2025/03/ILSOFTWARE-6-5.jpg)
/https://www.ilsoftware.it/app/uploads/2023/12/2-9.jpg)
/https://www.html.it/app/uploads/2025/03/motorola-g54-______.jpg)
![[SPOILER] I destini inaspettati dei protagonisti di Assassin's Creed: che fine hanno fatto?](https://images.everyeye.it/img-notizie/-spoiler-destini-inaspettati-protagonisti-assassin-s-creed-fatto-v9-788907-800x600.webp?#)
Nuovo attacco zero-day utilizzato per rubare le password di Windows (hash NTLM)
Un nuovo zero-day scoperto in Windows permette agli attaccanti di rubare le credenziali NTLM attraverso un attacco che sfrutta Esplora file. Gli aggressori utilizzano queste credenziali per lanciare attacchi come pass-the-hash e NTLM relay.
Un nuovo zero-day scoperto in Windows sta attirando l’attenzione degli esperti di sicurezza, poiché consente agli attaccanti remoti di rubare le credenziali NTLM, ingannando le vittime semplicemente esortandole a visualizzare file dannosi con Esplora file. Questo tipo di attacco può compromettere la sicurezza delle reti aziendali sfruttando le credenziali NTLM illecitamente acquisite.
Perché gli aggressori sono interessati a rubare le credenziali NTLM e come possono sfruttarle?
Gli aggressori sono fortemente motivati a rubare le credenziali NTLM (NT LAN Manager) per utilizzarle in vari tipi di attacchi informatici che portano alla compromissione di singoli sistemi e intere reti aziendali.
Le credenziali NTLM sono rappresentate da un hash della password, non dalla password stessa. Come spieghiamo nell’articolo citato, un hash è un valore crittografato che può essere usato per autenticare un utente. In alcuni attacchi, quindi, gli aggressori possono usare direttamente l’hash senza neppure conoscere le password e assumere l’altrui identità.
Uno degli attacchi più comuni è infatti il pass-the-hash. In questo scenario, gli aggressori rubano l’hash NTLM e lo usano per autenticarsi a vari servizi sulla rete, senza bisogno di decifrare la password originale. Questo tipo di attacco è estremamente efficace, poiché molti sistemi e applicazioni accettano direttamente l’hash come metodo di autenticazione.
Ancora, negli attacchi NTLM Relay un attaccante intercetta la comunicazione tra client e server. Si inserisce quindi come intermediario e “rilancia” le credenziali NTLM rubate da un dispositivo vulnerabile a un server controllato dal malintenzionato.
Rubando gli hash NTLM degli account amministrativi su un sistema Windows, gli aggressori possono inoltre ottenere accesso completo a tutta la rete, controllando macchine e server aziendali. In questo modo è possibile effettuare movimenti laterali, compromettendo ulteriori dispositivi.
La nuova vulnerabilità che affligge NTLM in Windows: come funziona
Ad accorgersi della nuova grave falla di sicurezza nella gestione degli hash NTLM da parte di Windows sono stati i ricercatori di ACROS Security (0patch) mentre sviluppavano una correzione di sicurezza per un’altra problematica legata alla divulgazione delle credenziali NTLM.
La problematica in questione riguarda tutte le versioni di Windows, inclusi Windows 7, Windows 10, Windows 11, Windows Server 2008 R2 fino a Windows Server 2025.
Gli attaccanti possono sfruttarla inducendo l’utente a visualizzare un file dannoso in Esplora file, ad esempio aprendo una cartella condivisa, un supporto USB infetto o una cartella di download contenente il file malevolo, precedentemente scaricato da una pagina Web compromessa.
Gli esperti di ACROS Security aggiungono che la lacuna di sicurezza è già nota agli aggressori ed è utilizzata per sferrare attacchi “nel mondo reale”.
Già disponibile la correzione non ufficiale
ACROS Security ha rilasciato una serie di micropatch non ufficiali tramite il servizio 0patch, per correggere il problema fino a quando Microsoft non rilascerà una patch ufficiale.
L’azienda mette a disposizione gratuitamente i suoi aggiornamenti correttivi per tutte le versioni di Windows vulnerabili. Gli utenti devono registrarsi su 0patch, installare l’agente software e lasciare che la correzione sia automaticamente applicata in memoria, senza necessità di riavviare il sistema.
“Siamo a conoscenza di questo report e prenderemo le misure necessarie per contribuire a proteggere i nostri clienti“, ha nel frattempo dichiarato Microsoft.
L’imperativo è abbandonare NTLM quanto prima
Le credenziali NTLM sono spesso utilizzate in ambienti aziendali legacy e non sono facilmente aggiornabili. Ciò può consentire agli aggressori di conservare un accesso a lungo termine sulle reti altrui, poiché molte reti aziendali dipendono ancora da NTLM per l’autenticazione.
L’uso di NTLM, purtroppo, non è sicuro se confrontato con gli standard moderni, come l’autenticazione basata su certificati o l’uso di Kerberos. Microsoft stessa ha abbandonato l’autenticazione NTLM su Windows 11 24H2, rimuovendo il supporto per la versione più vecchia e vulnerabile (NTLMv1).
/https://www.ilsoftware.it/app/uploads/2025/03/134.jpg)
/https://www.ilsoftware.it/app/uploads/2025/03/ILSOFTWARE-5-5.jpg)
/https://www.ilsoftware.it/app/uploads/2024/10/copilot-microsoft-nuovi-prompt-pianificati-1.jpg)
