12 月 9 日消息,第三方安全公司 0Patch 发布了针对 Windows 系统中的一个零日 NTLM 哈希漏洞的修复补丁,该漏洞允许攻击者仅通过被攻击者查看文件资源管理器中的恶意文件所在的文件夹即可劫持凭据,无需实际打开文件。
据了解,早在 2023 年 6 月,微软宣布不再支持自 1993 年推出的 NTLM(New Technology LAN Manager)身份验证协议,并建议用户升级至 Windows Negotiate 协议。然而,NTLM 协议的漏洞依然是攻击者的目标,Windows 7 / Server 2008 R2 至 Windows 11 Version 24H2 及 Server 2022 之间的版本均受影响。此次发现的漏洞仅需用户浏览受感染的文件夹,即可导致凭据泄露。
这一漏洞对旧版 Windows 用户的威胁尤为严重。尽管 Windows 11 预计将在未来数周或数月内收到官方补丁,Windows 7 等旧版本由于已停止官方支持,面临更高风险。虽然 Windows 10 目前仍处于支持期,但其支持将于明年 10 月结束,若未购买延长支持计划,类似问题可能在其最终版本中得不到修复。
0Patch 在其博客中透露,这并非他们近期发现的唯一安全问题。在此之前,0Patch 还修复了三个非 NTLM 的零日漏洞和三个微软“不会修复”的 NTLM 相关漏洞。由于微软不会为已停止支持的 Windows 版本或“不会修复”的漏洞发布补丁,0Patch 提供的这些修复补丁目前均可免费获取。
值得注意的是,0Patch 指出,目前尚未发现利用该 NTLM 漏洞的实际攻击案例。一些现有的安全解决方案可能已经能够自动阻止类似攻击,但无法保证所有受影响用户都具备这样的保护能力。
此次发布的补丁(“微补丁”)仅修复了一个具体的 NTLM 指令漏洞,从技术角度看,安装风险较低。然而,由于其为非官方补丁,用户仍需根据自身情况审慎决定是否安装。0Patch 呼吁微软尽快推出官方修复方案,因为仅通过浏览受感染文件夹就可能导致网络凭据被窃取的情况非常令人担忧。