近日,安全研究团队0patch发布了一项重要公告,揭示了Windows系统中存在的一个高危零日漏洞,并已为非官方修复提供了补丁。这一发现引起了广泛关注,因为该漏洞允许攻击者在不需用户打开文件的情况下,仅通过诱骗用户在Windows文件管理器中浏览恶意文件,就能窃取用户的NTLM凭据。
NTLM,即NT LAN Manager的缩写,是一种基于挑战/应答的身份验证协议,曾作为Windows NT早期版本的标准安全协议。尽管随着技术的发展,NTLM已逐渐被更安全的协议取代,但在当前的Windows系统中,它仍然扮演着一定的角色。
据0patch团队介绍,这个新发现的漏洞影响范围广泛,涵盖了从Windows 7、Windows Server 2008 R2到最新的Windows 11 24H2和Windows Server 2022的所有Windows版本。攻击者一旦成功利用这一漏洞,可以强制建立与远程共享的出站NTLM连接,进而使Windows系统自动发送已登录用户的NTLM哈希值。这些哈希值一旦被攻击者窃取并破解,用户的登录名和明文密码便可能暴露无遗。
为了说明这一漏洞的严重性,0patch团队举例指出,用户只需打开包含恶意文件的共享文件夹、USB磁盘或“下载”文件夹,就可能触发攻击。这意味着,即使是最谨慎的用户,也可能在不经意间落入攻击者的陷阱。
面对这一威胁,0patch团队已经迅速行动起来,向微软报告了这一漏洞,并在微软官方发布修复补丁之前,为所有注册用户免费提供了针对该漏洞的微补丁。团队还建议用户可以通过组策略或修改注册表来禁用NTLM身份验证,以降低被攻击的风险。具体方法包括在“安全设置”下的“本地策略”和“安全选项”中配置“网络安全: 限制NTLM”策略。
