Windows高危漏洞曝光：查看惡意文件即可被盜NTLM憑據(jù)

近日，安全研究團隊0patch發(fā)布了一項重要公告，揭示了Windows系統(tǒng)中存在的一個高危零日漏洞，并已為非官方修復(fù)提供了補丁。這一發(fā)現(xiàn)引起了廣泛關(guān)注，因為該漏洞允許攻擊者在不需用戶打開文件的情況下，僅通過誘騙用戶在Windows文件管理器中瀏覽惡意文件，就能竊取用戶的NTLM憑據(jù)。

NTLM，即NT LAN Manager的縮寫，是一種基于挑戰(zhàn)/應(yīng)答的身份驗證協(xié)議，曾作為Windows NT早期版本的標(biāo)準(zhǔn)安全協(xié)議。盡管隨著技術(shù)的發(fā)展，NTLM已逐漸被更安全的協(xié)議取代，但在當(dāng)前的Windows系統(tǒng)中，它仍然扮演著一定的角色。

據(jù)0patch團隊介紹，這個新發(fā)現(xiàn)的漏洞影響范圍廣泛，涵蓋了從Windows 7、Windows Server 2008 R2到最新的Windows 11 24H2和Windows Server 2022的所有Windows版本。攻擊者一旦成功利用這一漏洞，可以強制建立與遠程共享的出站NTLM連接，進而使Windows系統(tǒng)自動發(fā)送已登錄用戶的NTLM哈希值。這些哈希值一旦被攻擊者竊取并破解，用戶的登錄名和明文密碼便可能暴露無遺。

為了說明這一漏洞的嚴重性，0patch團隊舉例指出，用戶只需打開包含惡意文件的共享文件夾、USB磁盤或“下載”文件夾，就可能觸發(fā)攻擊。這意味著，即使是最謹慎的用戶，也可能在不經(jīng)意間落入攻擊者的陷阱。

面對這一威脅，0patch團隊已經(jīng)迅速行動起來，向微軟報告了這一漏洞，并在微軟官方發(fā)布修復(fù)補丁之前，為所有注冊用戶免費提供了針對該漏洞的微補丁。團隊還建議用戶可以通過組策略或修改注冊表來禁用NTLM身份驗證，以降低被攻擊的風(fēng)險。具體方法包括在“安全設(shè)置”下的“本地策略”和“安全選項”中配置“網(wǎng)絡(luò)安全: 限制NTLM”策略。