针对一个新的Windows零日漏洞(zero-day vulnerability),现已提供免费的非官方补丁。该漏洞允许远程攻击者通过诱骗目标在Windows资源管理器中查看恶意文件来窃取NTLM(NT LAN Manager)凭据。
NTLM协议已被广泛用于NTLM中继攻击(NTLM relay attacks,即威胁行为者迫使易受攻击的网络设备向攻击者控制的服务器进行身份验证)和哈希传递攻击(pass-the-hash attacks,即利用漏洞窃取NTLM哈希值,这些哈希值是经过哈希处理的密码)。攻击者随后使用窃取的哈希值以被入侵用户的身份进行身份验证,从而访问敏感数据并在网络中横向扩散。去年,微软宣布计划在未来版本的Windows 11中弃用NTLM身份验证协议。
ACROS Security的研究人员在为另一个NTLM哈希泄露问题开发补丁时,发现了这个新的SCF文件NTLM哈希泄露漏洞。该零日漏洞尚未分配CVE-ID,影响从Windows 7到最新Windows 11版本以及从Server 2008 R2到Server 2025的所有Windows版本。
ACROS Security首席执行官Mitja Kolsek于周二表示:“该漏洞允许攻击者通过让用户在Windows资源管理器中查看恶意文件(例如,打开包含此类文件的共享文件夹或USB磁盘,或查看从攻击者网页自动下载的Downloads文件夹)来获取用户的NTLM凭据。”他还指出:“虽然此类漏洞并不严重,其可利用性取决于多种因素(例如,攻击者已经进入受害者网络或拥有外部目标,如面向公众的Exchange服务器以中继窃取的凭据),但它们已被发现用于实际攻击中。”
0patch用户可获取微补丁
ACROS Security现已通过其0patch微补丁服务为所有受影响的Windows版本提供免费的非官方安全补丁,直到微软发布官方修复程序。Kolsek补充道:“我们已向微软报告了此问题,并一如既往地发布了微补丁,这些补丁将保持免费,直到微软提供官方修复程序。我们暂时保留该漏洞的详细信息,以尽量减少恶意利用的风险。”
要在Windows PC上安装微补丁,需创建账户并安装0patch代理程序。启动后,如果没有自定义补丁策略阻止,代理程序将自动应用微补丁,无需重启系统。
近几个月来,0patch报告了另外三个微软已修复或尚未修复的零日漏洞,包括Windows主题漏洞(已修复为CVE-2025-21308)、Server 2012上的Mark of the Web绕过漏洞(仍为零日漏洞,无官方补丁)以及URL文件NTLM哈希泄露漏洞(已修复为CVE-2025-21377)。0patch过去还披露了其他NTLM哈希泄露漏洞,如PetitPotam、PrinterBug/SpoolSample和DFSCoerce,这些漏洞尚未获得补丁。
BleepingComputer今日早些时候联系微软时,微软发言人未能立即提供声明。
