12 月 7 日有消息称,0patch 团队在 12 月 5 日发布公告,宣告发现了 Windows 系统中存在的一个高危零日漏洞,并且推出了非官方的修复补丁。
漏洞概述方面,该漏洞是利用了 NTLM(NT LAN Manager)身份验证协议的缺陷。NTLM 作为一种基于挑战/响应的身份验证协议,广泛应用于 Windows 网络之中,其目的在于提供身份验证、完整性以及机密性保护。
至于漏洞危害,按照 0patch 团队的说明,攻击者仅仅需要诱骗用户通过 Windows 文件管理器查看恶意文件(无需打开文件),就能够窃取用户的 NTLM 凭据。比如,当用户访问含有恶意文件的共享文件夹、USB 磁盘或者“下载”目录时,攻击会强制建立与远程共享的出站 NTLM 连接,致使 Windows 自动发送已登录用户的 NTLM 哈希值。而攻击者可以利用这些哈希值破解用户登录名和明文密码。
在影响范围上,此漏洞影响了包括 Windows 7、Windows Server 2008 R2 一直到最新的 Windows 11 24H2 和 Windows Server 2022 在内的所有 Windows 版本。
解决方案分为非官方补丁和临时措施。非官方补丁方面,0patch 团队已经为所有注册用户提供了免费的微补丁,用户可以前往 0patch 平台获取并安装。临时措施方面,在微软官方发布修复补丁之前,用户可以通过禁用 NTLM 身份验证来防范攻击,具体可通过组策略或修改注册表配置“安全设置”>“本地策略”>“安全选项”中的“网络安全: 限制 NTLM”策略。
此外,0patch 团队已经向微软报告了该漏洞,并且承诺在微软发布官方修复补丁之前不会公开漏洞技术细节。