針對一個(gè)新的Windows零日漏洞（zero-day vulnerability），現(xiàn)已提供免費(fèi)的非官方補(bǔ)丁。該漏洞允許遠(yuǎn)程攻擊者通過誘騙目標(biāo)在Windows資源管理器中查看惡意文件來竊取NTLM（NT LAN Manager）憑據(jù)。

NTLM協(xié)議已被廣泛用于NTLM中繼攻擊（NTLM relay attacks，即威脅行為者迫使易受攻擊的網(wǎng)絡(luò)設(shè)備向攻擊者控制的服務(wù)器進(jìn)行身份驗(yàn)證）和哈希傳遞攻擊（pass-the-hash attacks，即利用漏洞竊取NTLM哈希值，這些哈希值是經(jīng)過哈希處理的密碼）。攻擊者隨后使用竊取的哈希值以被入侵用戶的身份進(jìn)行身份驗(yàn)證，從而訪問敏感數(shù)據(jù)并在網(wǎng)絡(luò)中橫向擴(kuò)散。去年，微軟宣布計(jì)劃在未來版本的Windows 11中棄用NTLM身份驗(yàn)證協(xié)議。

ACROS Security的研究人員在為另一個(gè)NTLM哈希泄露問題開發(fā)補(bǔ)丁時(shí)，發(fā)現(xiàn)了這個(gè)新的SCF文件NTLM哈希泄露漏洞。該零日漏洞尚未分配CVE-ID，影響從Windows 7到最新Windows 11版本以及從Server 2008 R2到Server 2025的所有Windows版本。

ACROS Security首席執(zhí)行官M(fèi)itja Kolsek于周二表示：“該漏洞允許攻擊者通過讓用戶在Windows資源管理器中查看惡意文件（例如，打開包含此類文件的共享文件夾或USB磁盤，或查看從攻擊者網(wǎng)頁自動下載的Downloads文件夾）來獲取用戶的NTLM憑據(jù)。”他還指出：“雖然此類漏洞并不嚴(yán)重，其可利用性取決于多種因素（例如，攻擊者已經(jīng)進(jìn)入受害者網(wǎng)絡(luò)或擁有外部目標(biāo)，如面向公眾的Exchange服務(wù)器以中繼竊取的憑據(jù)），但它們已被發(fā)現(xiàn)用于實(shí)際攻擊中。”

0patch用戶可獲取微補(bǔ)丁

ACROS Security現(xiàn)已通過其0patch微補(bǔ)丁服務(wù)為所有受影響的Windows版本提供免費(fèi)的非官方安全補(bǔ)丁，直到微軟發(fā)布官方修復(fù)程序。Kolsek補(bǔ)充道：“我們已向微軟報(bào)告了此問題，并一如既往地發(fā)布了微補(bǔ)丁，這些補(bǔ)丁將保持免費(fèi)，直到微軟提供官方修復(fù)程序。我們暫時(shí)保留該漏洞的詳細(xì)信息，以盡量減少惡意利用的風(fēng)險(xiǎn)?！?/p>

要在Windows PC上安裝微補(bǔ)丁，需創(chuàng)建賬戶并安裝0patch代理程序。啟動后，如果沒有自定義補(bǔ)丁策略阻止，代理程序?qū)⒆詣討?yīng)用微補(bǔ)丁，無需重啟系統(tǒng)。

近幾個(gè)月來，0patch報(bào)告了另外三個(gè)微軟已修復(fù)或尚未修復(fù)的零日漏洞，包括Windows主題漏洞（已修復(fù)為CVE-2025-21308）、Server 2012上的Mark of the Web繞過漏洞（仍為零日漏洞，無官方補(bǔ)?。┮约癠RL文件NTLM哈希泄露漏洞（已修復(fù)為CVE-2025-21377）。0patch過去還披露了其他NTLM哈希泄露漏洞，如PetitPotam、PrinterBug/SpoolSample和DFSCoerce，這些漏洞尚未獲得補(bǔ)丁。

BleepingComputer今日早些時(shí)候聯(lián)系微軟時(shí)，微軟發(fā)言人未能立即提供聲明。