漏洞影響范圍廣泛

該高危漏洞影響從Windows 7和Server 2008 R2到最新Windows 11 v24H2及Server 2025的所有Windows操作系統(tǒng)版本。攻擊者只需誘使用戶在Windows資源管理器中查看惡意文件，即可利用該零日漏洞竊取NTLM（NT LAN Manager）身份驗(yàn)證憑證。

漏洞觸發(fā)場(chǎng)景包括：打開(kāi)共享文件夾、插入包含惡意文件的USB驅(qū)動(dòng)器，甚至僅瀏覽曾從攻擊者網(wǎng)站下載過(guò)此類文件的"下載"文件夾。

NTLM漏洞已被實(shí)際利用

新發(fā)現(xiàn)的漏洞與此前已修復(fù)的URL文件漏洞（CVE-2025-21377）具有相似的攻擊場(chǎng)景，但其底層技術(shù)原理存在差異且此前未被公開(kāi)披露。安全研究人員在微軟發(fā)布官方補(bǔ)丁前暫未公開(kāi)具體利用細(xì)節(jié)，但確認(rèn)該漏洞確實(shí)能通過(guò)惡意文件交互實(shí)現(xiàn)憑證竊取。

雖然未被歸類為"高危"，但該NTLM憑證竊取漏洞仍具嚴(yán)重威脅，特別是在攻擊者已獲得網(wǎng)絡(luò)訪問(wèn)權(quán)限或可針對(duì)Exchange等對(duì)外服務(wù)器的環(huán)境中。安全情報(bào)證實(shí)，此類漏洞已在真實(shí)攻擊中被活躍利用。

微補(bǔ)丁臨時(shí)防護(hù)方案

研究團(tuán)隊(duì)已根據(jù)責(zé)任披露原則向微軟報(bào)告該漏洞。在等待官方修復(fù)期間，他們通過(guò)0patch平臺(tái)發(fā)布了臨時(shí)微補(bǔ)丁方案。這些微補(bǔ)丁將保持免費(fèi)提供，直至微軟推出永久解決方案。

這是該研究團(tuán)隊(duì)近期發(fā)現(xiàn)的第四個(gè)零日漏洞，前三個(gè)分別為：

• Windows主題文件漏洞（已修復(fù)，編號(hào)CVE-2025-21308）
• Server 2012上的"網(wǎng)絡(luò)標(biāo)記"漏洞（仍未修復(fù)）
• URL文件NTLM哈希泄露漏洞（已修復(fù)，編號(hào)CVE-2025-21377）

此外，2024年1月報(bào)告的"EventLogCrasher"漏洞（允許攻擊者禁用域內(nèi)計(jì)算機(jī)的Windows事件日志記錄功能）目前仍未獲微軟修復(fù)。

支持系統(tǒng)版本清單

臨時(shí)安全補(bǔ)丁支持包括以下版本的Windows系統(tǒng)：

舊版Windows：

• Windows 11 v21H2及更早的Windows 10版本（v21H2/v21H1/v20H2等）
• 不同擴(kuò)展安全更新（ESU）狀態(tài)的Windows 7
• 多種ESU配置的Windows Server 2012/2012 R2/2008 R2

當(dāng)前支持版本：

• Windows 11（v24H2/v23H2/v22H2）
• Windows 10 v22H2
• Windows Server 2025/2022/2019/2016
• 啟用ESU 2的Windows Server 2012/2012 R2

已安裝0patch Agent的PRO或企業(yè)賬戶受影響系統(tǒng)將自動(dòng)接收微補(bǔ)丁。新用戶需在0patch Central創(chuàng)建免費(fèi)賬戶，啟用試用并安裝注冊(cè)0patch Agent。整個(gè)過(guò)程無(wú)需系統(tǒng)重啟，補(bǔ)丁將自動(dòng)部署，在等待微軟官方修復(fù)期間提供即時(shí)防護(hù)。