近日,安全研究團(tuán)隊(duì)0patch發(fā)布了一項(xiàng)重要公告,揭示了Windows系統(tǒng)中存在的一個(gè)高危零日漏洞,并已為非官方修復(fù)提供了補(bǔ)丁。這一發(fā)現(xiàn)引起了廣泛關(guān)注,因?yàn)樵撀┒丛试S攻擊者在不需用戶打開文件的情況下,僅通過(guò)誘騙用戶在Windows文件管理器中瀏覽惡意文件,就能竊取用戶的NTLM憑據(jù)。
NTLM,即NT LAN Manager的縮寫,是一種基于挑戰(zhàn)/應(yīng)答的身份驗(yàn)證協(xié)議,曾作為Windows NT早期版本的標(biāo)準(zhǔn)安全協(xié)議。盡管隨著技術(shù)的發(fā)展,NTLM已逐漸被更安全的協(xié)議取代,但在當(dāng)前的Windows系統(tǒng)中,它仍然扮演著一定的角色。
據(jù)0patch團(tuán)隊(duì)介紹,這個(gè)新發(fā)現(xiàn)的漏洞影響范圍廣泛,涵蓋了從Windows 7、Windows Server 2008 R2到最新的Windows 11 24H2和Windows Server 2022的所有Windows版本。攻擊者一旦成功利用這一漏洞,可以強(qiáng)制建立與遠(yuǎn)程共享的出站NTLM連接,進(jìn)而使Windows系統(tǒng)自動(dòng)發(fā)送已登錄用戶的NTLM哈希值。這些哈希值一旦被攻擊者竊取并破解,用戶的登錄名和明文密碼便可能暴露無(wú)遺。
為了說(shuō)明這一漏洞的嚴(yán)重性,0patch團(tuán)隊(duì)舉例指出,用戶只需打開包含惡意文件的共享文件夾、USB磁盤或“下載”文件夾,就可能觸發(fā)攻擊。這意味著,即使是最謹(jǐn)慎的用戶,也可能在不經(jīng)意間落入攻擊者的陷阱。
面對(duì)這一威脅,0patch團(tuán)隊(duì)已經(jīng)迅速行動(dòng)起來(lái),向微軟報(bào)告了這一漏洞,并在微軟官方發(fā)布修復(fù)補(bǔ)丁之前,為所有注冊(cè)用戶免費(fèi)提供了針對(duì)該漏洞的微補(bǔ)丁。團(tuán)隊(duì)還建議用戶可以通過(guò)組策略或修改注冊(cè)表來(lái)禁用NTLM身份驗(yàn)證,以降低被攻擊的風(fēng)險(xiǎn)。具體方法包括在“安全設(shè)置”下的“本地策略”和“安全選項(xiàng)”中配置“網(wǎng)絡(luò)安全: 限制NTLM”策略。
