針對一個新的Windows零日漏洞（zero-day vulnerability），現(xiàn)已提供免費的非官方補丁。該漏洞允許遠程攻擊者通過誘騙目標在Windows資源管理器中查看惡意文件來竊取NTLM（NT LAN Manager）憑據(jù)。

NTLM協(xié)議已被廣泛用于NTLM中繼攻擊（NTLM relay attacks，即威脅行為者迫使易受攻擊的網(wǎng)絡設備向攻擊者控制的服務器進行身份驗證）和哈希傳遞攻擊（pass-the-hash attacks，即利用漏洞竊取NTLM哈希值，這些哈希值是經(jīng)過哈希處理的密碼）。攻擊者隨后使用竊取的哈希值以被入侵用戶的身份進行身份驗證，從而訪問敏感數(shù)據(jù)并在網(wǎng)絡中橫向擴散。去年，微軟宣布計劃在未來版本的Windows 11中棄用NTLM身份驗證協(xié)議。

ACROS Security的研究人員在為另一個NTLM哈希泄露問題開發(fā)補丁時，發(fā)現(xiàn)了這個新的SCF文件NTLM哈希泄露漏洞。該零日漏洞尚未分配CVE-ID，影響從Windows 7到最新Windows 11版本以及從Server 2008 R2到Server 2025的所有Windows版本。

ACROS Security首席執(zhí)行官Mitja Kolsek于周二表示：“該漏洞允許攻擊者通過讓用戶在Windows資源管理器中查看惡意文件（例如，打開包含此類文件的共享文件夾或USB磁盤，或查看從攻擊者網(wǎng)頁自動下載的Downloads文件夾）來獲取用戶的NTLM憑據(jù)?！彼€指出：“雖然此類漏洞并不嚴重，其可利用性取決于多種因素（例如，攻擊者已經(jīng)進入受害者網(wǎng)絡或擁有外部目標，如面向公眾的Exchange服務器以中繼竊取的憑據(jù)），但它們已被發(fā)現(xiàn)用于實際攻擊中?！?/p>

0patch用戶可獲取微補丁

ACROS Security現(xiàn)已通過其0patch微補丁服務為所有受影響的Windows版本提供免費的非官方安全補丁，直到微軟發(fā)布官方修復程序。Kolsek補充道：“我們已向微軟報告了此問題，并一如既往地發(fā)布了微補丁，這些補丁將保持免費，直到微軟提供官方修復程序。我們暫時保留該漏洞的詳細信息，以盡量減少惡意利用的風險?！?/p>

要在Windows PC上安裝微補丁，需創(chuàng)建賬戶并安裝0patch代理程序。啟動后，如果沒有自定義補丁策略阻止，代理程序?qū)⒆詣討梦⒀a丁，無需重啟系統(tǒng)。

近幾個月來，0patch報告了另外三個微軟已修復或尚未修復的零日漏洞，包括Windows主題漏洞（已修復為CVE-2025-21308）、Server 2012上的Mark of the Web繞過漏洞（仍為零日漏洞，無官方補?。┮约癠RL文件NTLM哈希泄露漏洞（已修復為CVE-2025-21377）。0patch過去還披露了其他NTLM哈希泄露漏洞，如PetitPotam、PrinterBug/SpoolSample和DFSCoerce，這些漏洞尚未獲得補丁。

BleepingComputer今日早些時候聯(lián)系微軟時，微軟發(fā)言人未能立即提供聲明。