SecurityWeek rapporte que Microsoft a désactivé la prévisualisation des fichiers téléchargés pour contrer une fuite potentielle de hachages NTLM. Dans certains fichiers récupérés depuis Internet, des balises HTML pointant vers des chemins externes pouvaient être utilisées pour exfiltrer des hachages NTLM au moment de l’aperçu.
• Vulnérabilité: des balises HTML dans des fichiers téléchargés, référencées vers des chemins externes, pouvaient déclencher une demande d’authentification et exposer des hachages NTLM lors de la prévisualisation du fichier.
• Impact: risque de fuite de secrets d’authentification (hachages NTLM) sans interaction approfondie de l’utilisateur, simplement via l’aperçu du fichier 📁.
• Mesure prise: Microsoft a désactivé l’aperçu des fichiers téléchargés pour bloquer ces fuites 🛡️.
TTPs observées:
- Exploitation de contenu HTML embarqué pointant vers des ressources externes pour provoquer une fuite de hachages NTLM lors du rendu d’aperçu.
IOCs:
- Aucun indicateur technique spécifique fourni dans l’extrait.
Conclusion: article de presse spécialisé présentant une mise à jour de produit visant à atténuer un vecteur de fuite de hachages NTLM.
🔗 Source originale : https://www.securityweek.com/microsoft-disables-downloaded-file-previews-to-block-ntlm-hash-leaks/