2023年6月,微软正式宣布将不再支持其新技术局域网管理器(NTLM)身份验证协议,该协议自1993年随Windows NT 3.1首次亮相。尽管微软建议用户升级到更安全的Windows Negotiate协议,但NTLM仍然被广泛使用,并且存在多个已知漏洞,这些漏洞可能被攻击者利用进行凭证劫持和其他恶意活动。
新发现的NTLM漏洞
最近,第三方安全公司0Patch发现了一个新的NTLM漏洞,该漏洞仅通过查看受感染文件夹即可进行凭证劫持,甚至不需要直接打开文件。这一漏洞影响了从Windows 7/Server 2008 R2到Windows 11版本24H2和Server 2022的多个版本。虽然较新版本的Windows可能会在未来几周或几个月内收到补丁,但对于像Windows 7这样的旧版本,风险尤为严重,因为它的支持已经结束,用户需要购买付费支持计划才能获得进一步的安全更新。
其他相关漏洞
除了这个新发现的NTLM漏洞,0Patch还在其博客文章中提到了其他几个零日漏洞:
- 三个非NTLM零日漏洞:这些漏洞也已经被0Patch修复。
- 三个“不会修复”的NTLM相关漏洞:微软决定不再为这些漏洞发布官方补丁,0Patch已经提供了临时的微补丁。
漏洞的影响和风险
- Windows 7特别危险:由于Windows 7的支持已经结束,用户无法通过常规渠道获得安全更新。这意味着即使有新的漏洞出现,用户也无法得到官方的修复,除非他们选择购买昂贵的付费支持计划。
- Windows 10的风险增加:尽管Windows 10仍然会收到补丁,但其支持将于明年10月结束。因此,未修补此类问题的风险只会随着时间的推移而增加。
- Windows 11和其他较新版本:这些版本可能会在未来几周或几个月内收到针对此漏洞的官方补丁,但目前仍存在风险。
0Patch的解决方案
0Patch提供了一种替代微软官方补丁的方案,称为“微补丁”。这些微补丁专门针对单个易受攻击的NTLM指令,理论上安装后应该相对无害。然而,由于它们是非官方的安全补丁,用户在安装时应谨慎评估风险。0Patch表示,尚未在野外看到利用此特定NTLM身份验证问题的攻击,但不能保证所有受影响的用户都会采取适当的缓解措施。
安全建议
- 尽快升级到Windows Negotiate:微软强烈建议用户升级到更安全的Windows Negotiate协议,以避免使用存在安全风险的NTLM。
- 保持系统更新:对于仍在支持期内的操作系统,确保及时安装所有安全更新。
- 考虑使用第三方安全补丁:对于不再受支持的系统,可以考虑使用0Patch等第三方提供的微补丁,但需谨慎评估其可靠性和安全性。
- 启用额外的安全措施:使用防火墙、入侵检测系统(IDS)、反病毒软件等额外的安全措施,以减少潜在的攻击面。
- 监控网络流量:定期监控网络流量,及时发现并响应可疑活动。
评论