針對(duì)一個(gè)新的Windows零日漏洞（zero-day vulnerability），現(xiàn)已提供免費(fèi)的非官方補(bǔ)丁。該漏洞允許遠(yuǎn)程攻擊者通過(guò)誘騙目標(biāo)在Windows資源管理器中查看惡意文件來(lái)竊取NTLM（NT LAN Manager）憑據(jù)。

NTLM協(xié)議已被廣泛用于NTLM中繼攻擊（NTLM relay attacks，即威脅行為者迫使易受攻擊的網(wǎng)絡(luò)設(shè)備向攻擊者控制的服務(wù)器進(jìn)行身份驗(yàn)證）和哈希傳遞攻擊（pass-the-hash attacks，即利用漏洞竊取NTLM哈希值，這些哈希值是經(jīng)過(guò)哈希處理的密碼）。攻擊者隨后使用竊取的哈希值以被入侵用戶(hù)的身份進(jìn)行身份驗(yàn)證，從而訪(fǎng)問(wèn)敏感數(shù)據(jù)并在網(wǎng)絡(luò)中橫向擴(kuò)散。去年，微軟宣布計(jì)劃在未來(lái)版本的Windows 11中棄用NTLM身份驗(yàn)證協(xié)議。

ACROS Security的研究人員在為另一個(gè)NTLM哈希泄露問(wèn)題開(kāi)發(fā)補(bǔ)丁時(shí)，發(fā)現(xiàn)了這個(gè)新的SCF文件NTLM哈希泄露漏洞。該零日漏洞尚未分配CVE-ID，影響從Windows 7到最新Windows 11版本以及從Server 2008 R2到Server 2025的所有Windows版本。

ACROS Security首席執(zhí)行官M(fèi)itja Kolsek于周二表示：“該漏洞允許攻擊者通過(guò)讓用戶(hù)在Windows資源管理器中查看惡意文件（例如，打開(kāi)包含此類(lèi)文件的共享文件夾或USB磁盤(pán)，或查看從攻擊者網(wǎng)頁(yè)自動(dòng)下載的Downloads文件夾）來(lái)獲取用戶(hù)的NTLM憑據(jù)?！彼€指出：“雖然此類(lèi)漏洞并不嚴(yán)重，其可利用性取決于多種因素（例如，攻擊者已經(jīng)進(jìn)入受害者網(wǎng)絡(luò)或擁有外部目標(biāo)，如面向公眾的Exchange服務(wù)器以中繼竊取的憑據(jù)），但它們已被發(fā)現(xiàn)用于實(shí)際攻擊中?！?/p>

0patch用戶(hù)可獲取微補(bǔ)丁

ACROS Security現(xiàn)已通過(guò)其0patch微補(bǔ)丁服務(wù)為所有受影響的Windows版本提供免費(fèi)的非官方安全補(bǔ)丁，直到微軟發(fā)布官方修復(fù)程序。Kolsek補(bǔ)充道：“我們已向微軟報(bào)告了此問(wèn)題，并一如既往地發(fā)布了微補(bǔ)丁，這些補(bǔ)丁將保持免費(fèi)，直到微軟提供官方修復(fù)程序。我們暫時(shí)保留該漏洞的詳細(xì)信息，以盡量減少惡意利用的風(fēng)險(xiǎn)。”

要在Windows PC上安裝微補(bǔ)丁，需創(chuàng)建賬戶(hù)并安裝0patch代理程序。啟動(dòng)后，如果沒(méi)有自定義補(bǔ)丁策略阻止，代理程序?qū)⒆詣?dòng)應(yīng)用微補(bǔ)丁，無(wú)需重啟系統(tǒng)。

近幾個(gè)月來(lái)，0patch報(bào)告了另外三個(gè)微軟已修復(fù)或尚未修復(fù)的零日漏洞，包括Windows主題漏洞（已修復(fù)為CVE-2025-21308）、Server 2012上的Mark of the Web繞過(guò)漏洞（仍為零日漏洞，無(wú)官方補(bǔ)丁）以及URL文件NTLM哈希泄露漏洞（已修復(fù)為CVE-2025-21377）。0patch過(guò)去還披露了其他NTLM哈希泄露漏洞，如PetitPotam、PrinterBug/SpoolSample和DFSCoerce，這些漏洞尚未獲得補(bǔ)丁。

BleepingComputer今日早些時(shí)候聯(lián)系微軟時(shí)，微軟發(fā)言人未能立即提供聲明。