利用自动补丁和服务器加固策略保护系统,抵御 NTLM 零日漏洞。保持积极主动,确保业务安全。
新发现的 Windows 零日漏洞使多个 Windows 版本的用户面临凭证被盗的风险。由 0patch 研究人员发现的这一关键安全漏洞允许攻击者通过一种具有欺骗性的简单方法窃取 NTLM 凭据。
是什么导致了这一漏洞的危险性?
广泛影响
该漏洞影响广泛的 Windows 系统,包括
Windows Server 2022
Windows 11(最高版本 24H2)
Windows 10(多个版本)
Windows 7 and Server 2008 R2
漏洞利用机制
该漏洞的技术细节暂不公布,以尽量降低利用风险,直至微软发布修复程序,将进一步的利用风险降至最低。
利用该漏洞,攻击者可诱使用户在 Windows 资源管理器中打开恶意文件,从而窃取用户的 NTLM 凭据。
攻击者可以通过极少的用户交互触发该漏洞:
打开共享文件夹
访问 USB 磁盘
在 Windows 资源管理器中查看恶意文件
使用策略性放置的文件访问下载文件夹
未修补漏洞的大背景
这并非孤立事件。同一研究小组此前已发现多个未解决的 Windows 漏洞,包括
Windows 主题文件问题
“网络标记”漏洞
“EventLogCrasher ”漏洞
三个与 NTLM 相关的漏洞(PetitPotam、PrinterBug/SpoolSample 和 DFSCoerce)
0patch 微型补丁
0patch 为所有在其平台上注册的用户免费提供最新 NTLM 零日漏洞的微补丁,直到微软发布官方修复程序。除配置明确阻止自动更新的情况外,该安全微补丁已自动部署到专业版和企业版账户。
网络安全公司Saviynt的首席信任官吉姆-劳斯(Jim Routh)说:“对使用过时和遗留基础设施的企业造成的影响比单纯的运营成本影响更为重要。在这种情况下,MS过时的身份验证应用程序(NTLM)使威胁行为者能够窃取Windows凭证,从而有可能损害客户体验。”
注重主动出击
自动补丁管理(如通过 0patch 为专业版和企业版账户提供的保护)是一个良好的开端,但企业还需要做得更多。通过在所有系统中设置一致的安全配置,实施强大的服务器加固策略可以增加多层防御。
这种积极主动的方法不仅仅是对漏洞做出反应,还能帮助企业抵御威胁,如最近的 NTLM 零日漏洞。
文章原文链接:https://www.anquanke.com/post/id/302559