员工为了获得更炫酷的桌面而下载主题,而 Windows 处理这些主题的方式又出现了另一个漏洞。只需封锁一个端口即可减轻该漏洞的影响。
本周,研究人员在一份报告中指出,微软尚未完全修复恶意 Windows 主题的一个问题,该问题允许通过可破解的NTLM哈希将 Windows 凭据发送到威胁行为者设置的恶意服务器。
尽管微软今年已经发布了两个补丁来修复该问题,但又发现了另一个漏洞。
所有 Windows 版本均存在风险
研究人员表示,在修补此最新漏洞之前,旧版和仍受支持的 Windows 版本可能存在风险。
如果 Windows 管理员不封锁允许连接到外部文件共享的端口,可能会出现问题。他们本应这样做,以保证良好的安全性。网络上的用户不应该连接到网络外的 Windows 文件共享。这相对容易做到:您需要封锁端口 445 以防止这种情况发生。
情况并没有那么严重,因为大多数管理合理的网络已经阻止了这些出站文件共享连接。如果你不阻止它们,你可能会遇到其他 [安全] 问题。
Windows 管理员还应限制 NTLM 流量。
另一个解决方案是提醒员工不要在互联网上搜索 Windows 主题,这是定期安全意识培训的一部分。
问题在于,当打开某些文件(包括 Windows 主题)时,内容可能会引用其他外部文件。想象一下从另一台服务器加载图像的 HTML 页面。
但如果这些附加文件托管在 Windows 文件共享上,Windows 会自动发送其凭据以登录该服务器。这就是恶意 Windows 主题文件诱骗用户计算机向攻击者发送凭据的方式。
真正的问题是,这种情况会不断出现,影响各种文件类型。去年 Outlook 就出现了这种情况;当你打开电子邮件时,就有可能触发来自恶意服务器的下载。这是一个反复出现的问题。微软正在采取‘打地鼠’策略,消除所有可能发生这种情况的不同地点。
问题更加严重的是,发出的用户密码是通过一个容易破解的 NTLM 哈希发送的。不过,微软在最新版本的 Windows 中禁用了 NTLM 功能,因此只有旧版本的操作系统才会面临风险。
补丁管理解决方案提供商称该问题非常严重,因为它影响到 Windows 7 以后所有版本的 Windows 客户端。
该漏洞不需要任何特殊权限即可利用,因此许多潜在攻击者都可以利用它。它允许攻击者捕获 NTLM 身份验证哈希,如果这些哈希被破解或用于传递哈希攻击,可能会导致进一步的危害,并且只需在 Windows 资源管理器中查看恶意主题文件即可触发该漏洞,只需极少的用户交互。
在某些情况下,例如自动下载到下载文件夹,用户可能会在不知情的情况下触发该漏洞。该问题出现在主题文件处理过程的不同部分,这表明可能有多个地方可能发生类似的问题。
在短时间内发现多个漏洞这一事实表明,微软最初的修复可能不够全面,可能是由于时间限制或低估了问题的复杂性。
考虑到 Windows 主题的可能配置和用例数量,微软可能很难彻底测试所有可能的情况。
正如在其博客中概述的那样,Windows 主题欺骗的历史可以追溯到去年,当时 Akamai 研究员 Tomer Peled 发现了一个漏洞,如果在 Windows 资源管理器中查看主题文件,该漏洞将触发发送用户的 NTLM 凭据。
这意味着,仅仅看到文件夹中列出的恶意主题文件或放置在桌面上就足以泄露用户的凭据,而无需用户采取任何其他行动。
微软在一月份修补了此问题CVE-2024-21320,并补充说已禁用 NTLM 的系统不会受到影响。
又发现一个问题
故事还没完。随后发现,微软 1 月份的补丁并未完全解决问题。
微软在 7 月份针对这一新漏洞CVE-2024-38030发布了新补丁,该漏洞的严重性被评为“重要”。
微软再次提醒 Windows 管理员禁用 NTLM。
这两个补丁并不能完全阻止凭据泄露。
即使是运行最新 Windows 11 24H2 且已打上这两个补丁的完全更新桌面,也只需将恶意主题文件复制到桌面即可利用该漏洞。
Windows 发言人表示:“我们已注意到这份报告,并将根据需要采取行动,保护客户的安全。”
如何禁用 NTLM
在发布最终修复程序之前,请采纳 Microsoft 的建议并禁用 NTLM,这将缓解此问题。
操作方法如下:
对于运行Windows Server 2008 或 2008 R2 的管理员,请参阅介绍 NTLM 身份验证的限制;
对于运行Windows 7 或 2008 R2 的管理员,请参阅 NTLM Blocking and You;
对于运行Windows 10 或 11 的管理员,请参阅网络安全:限制 NTLM:到远程服务器的传出 NTLM 流量网络安全:限制 NTLM:为 NTLM 身份验证添加远程服务器例外。