近日,安全研究團隊0patch發布了一項重要公告,揭示了Windows系統中存在的一個高危零日漏洞,并已為非官方修復提供了補丁。這一發現引起了廣泛關注,因為該漏洞允許攻擊者在不需用戶打開文件的情況下,僅通過誘騙用戶在Windows文件管理器中瀏覽惡意文件,就能竊取用戶的NTLM憑據。
NTLM,即NT LAN Manager的縮寫,是一種基于挑戰/應答的身份驗證協議,曾作為Windows NT早期版本的標準安全協議。盡管隨著技術的發展,NTLM已逐漸被更安全的協議取代,但在當前的Windows系統中,它仍然扮演著一定的角色。
據0patch團隊介紹,這個新發現的漏洞影響范圍廣泛,涵蓋了從Windows 7、Windows Server 2008 R2到最新的Windows 11 24H2和Windows Server 2022的所有Windows版本。攻擊者一旦成功利用這一漏洞,可以強制建立與遠程共享的出站NTLM連接,進而使Windows系統自動發送已登錄用戶的NTLM哈希值。這些哈希值一旦被攻擊者竊取并破解,用戶的登錄名和明文密碼便可能暴露無遺。
為了說明這一漏洞的嚴重性,0patch團隊舉例指出,用戶只需打開包含惡意文件的共享文件夾、USB磁盤或“下載”文件夾,就可能觸發攻擊。這意味著,即使是最謹慎的用戶,也可能在不經意間落入攻擊者的陷阱。
面對這一威脅,0patch團隊已經迅速行動起來,向微軟報告了這一漏洞,并在微軟官方發布修復補丁之前,為所有注冊用戶免費提供了針對該漏洞的微補丁。團隊還建議用戶可以通過組策略或修改注冊表來禁用NTLM身份驗證,以降低被攻擊的風險。具體方法包括在“安全設置”下的“本地策略”和“安全選項”中配置“網絡安全: 限制NTLM”策略。
