https://event.flydove.net/edm/web/infosecurity01/325454
https://event.flydove.net/edm/web/infosecurity01/325454

新聞

Windows新零時差漏洞曝光:僅瀏覽惡意檔案即可竊取NTLM憑證

2024 / 12 / 09
編輯部
Windows新零時差漏洞曝光:僅瀏覽惡意檔案即可竊取NTLM憑證
資安研究團隊0patch近日發現一個Windows系統的新零時差漏洞,攻擊者只需誘使受害者在Windows檔案總管中查看惡意檔案,就能竊取NTLM憑證。目前微軟尚未發布官方修補程式。

根據0patch團隊的說明,這個尚未獲得CVE編號的漏洞影響範圍廣泛,從Windows 7和Server 2008 R2到最新的Windows 11 24H2和Server 2022版本都受到影響。

與一般需要點擊開啟檔案的攻擊手法不同,這個漏洞的特殊之處在於僅需在檔案總管中瀏覽惡意檔案即可觸發。攻擊情境包括:開啟包含惡意檔案的共用資料夾、瀏覽USB隨身碟,或是查看從攻擊者網頁自動下載的檔案所在的下載資料夾。

為了防止漏洞被惡意利用,0patch團隊暫時保留了技術細節。不過據了解,這個漏洞會強制建立對遠端共用資源的NTLM連線,導致Windows自動發送當前登入使用者的NTLM雜湊值,讓攻擊者有機會竊取並破解,進而取得登入帳號和明文密碼。

值得注意的是,這是0patch團隊最近向微軟報告的第三個未獲得及時處理的零時差漏洞。其他兩個分別是上月底發現的Windows Server 2012 Mark of the Web (MotW)繞過漏洞,以及10月底披露的Windows佈景主題遠端NTLM憑證竊取漏洞,目前都尚未修補。

在官方修補程式發布前,0patch提供了免費的微型修補程式。使用者可以透過以下步驟獲取非官方修補:
  • 在0patch Central註冊免費帳號
  • 啟動免費試用
  • 安裝代理程式並允許自動應用修補
若不想使用非官方修補,用戶可以考慮通過群組原則(位於「安全性設定 > 本機原則 > 安全性選項」)關閉NTLM驗證,並配置「網路安全性:限制NTLM」原則。這些設定也可以通過修改登錄檔來實現。

微軟曾在一年前宣布計劃在未來的Windows 11中淘汰NTLM驗證協議。然而,包括PetitPotam、PrinterBug/SpoolSample和DFSCoerce在內的多個NTLM雜湊值洩露漏洞,至今在最新的Windows版本中仍未獲得官方修復。

本文轉載自bleepingcomputer。