0patch 团队近日发布公告，揭露了一个存在于 Windows 系统中的高危零日漏洞。该漏洞利用 NTLM 身份验证协议的缺陷，攻击者仅需诱骗用户在 Windows 文件管理器中查看恶意文件，无需打开文件，即可窃取用户的 NTLM 凭据。此漏洞影响从 Windows 7 到最新的 Windows 11 24H2 的所有版本。攻击者可利用此漏洞获取用户的登录名和明文密码，构成严重的安全威胁。0patch 团队已向微软报告，并在官方修复补丁发布前，为所有注册用户免费提供微补丁。

🚨该漏洞存在于 Windows 系统的 NTLM 身份验证协议中，允许攻击者在用户不知情的情况下窃取 NTLM 凭据。攻击者只需诱骗用户在 Windows 文件管理器中查看恶意文件，甚至不需要用户打开文件，即可触发攻击。

🖥️攻击会导致 Windows 强制建立与远程共享的出站 NTLM 连接，自动发送已登录用户的 NTLM 哈希值。攻击者可以窃取并破解这些哈希值，从而获取用户的登录名和明文密码。

🛡️该漏洞影响范围广泛，涵盖从 Windows 7、Windows Server 2008 R2 到最新的 Windows 11 24H2 和 Windows Server 2022 在内的所有 Windows 版本。

🩹0patch 团队已向微软报告该漏洞，并在微软官方发布修复补丁之前，不会公开披露该漏洞的具体技术细节，以防止被恶意利用。

🛠️在微软发布官方补丁之前，0patch 平台为所有注册用户免费提供针对该漏洞的微补丁。用户也可以通过组策略或修改注册表禁用 NTLM 身份验证来缓解风险。

IT之家 12 月 7 日消息，0patch 团队于 12 月 5 日发布公告，发现了 Windows 系统的高危零日漏洞，并发布了非官方修复补丁。

IT之家注：NTLM 是 NT LAN Manager 的缩写，NTLM 是基于挑战 / 应答的身份验证协议，是 Windows NT 早期版本中的标准安全协议。

NTLM 旨在为 Windows 网络提供身份验证、完整性和机密性，是一种基于挑战 / 响应的身份验证协议，是 Windows NT 早期版本的标准安全协议。

0patch 团队在博文中表示，该漏洞尚未分配 CVE ID，只是表示攻击者只需诱骗用户在 Windows 文件管理器中查看恶意文件，甚至不需要打开文件，即可窃取用户的 NTLM 凭据。

例如，用户打开包含恶意文件的共享文件夹、USB 磁盘或“下载”文件夹，都可能触发攻击。

攻击会强制建立与远程共享的出站 NTLM 连接，导致 Windows 自动发送已登录用户的 NTLM 哈希值，攻击者可窃取并破解这些哈希值，获取用户的登录名和明文密码。

该漏洞影响从 Windows 7、Windows Server 2008 R2 到最新的 Windows 11 24H2 和 Windows Server 2022 在内所有 Windows 版本。

0patch 团队已向微软报告该漏洞，在微软官方发布修复补丁之前，不会公开披露该漏洞细节。

0patch 平台为所有注册用户免费提供针对该漏洞的微补丁，用户也可以考虑通过组策略或修改注册表禁用 NTLM 身份验证，具体方法是在“安全设置”>“本地策略”>“安全选项”中配置“网络安全: 限制 NTLM”策略。