本文介绍了最新的 Windows 主题漏洞以及如何通过封堵相关端口来增强安全性,强调了 NTLM 流量限制的重要性,并提供了关于如何禁用 NTLM 的详细指导。
来源 Shutterstock
近期,Windows 处理员工下载的主题时出现了新的漏洞,使得安全专家警告,简单地封堵一个端口或许能够减轻该漏洞的影响。来自斯洛文尼亚的 Acros Security 研究团队在其 0patch 博客上表示,微软尚未完全修复一个恶意 Windows 主题的问题,该问题允许 Windows 凭据通过可破解的 NTLM 哈希发送到恶意服务器。尽管微软今年已经发布了两个补丁来解决这一问题,Acros 却发现了新的漏洞。
研究者指出,尚未修补的最新漏洞使得包括老旧版本和仍在支持的 Windows 版本在内的系统皆可能受到影响。
shadowrocket小火箭SANS Institute 研究学院院长 Johannes Ullrich 表示,如果 Windows 管理员不封堵允许外部文件共享连接的端口,这将可能成为一个问题。他补充说,这本应是良好安全实践的一部分。“无论如何,网络中的用户不应该与外部的 Windows 文件共享建立连接。阻止这一行为相对容易:你只需封堵端口 445。”
他表示,Acros 的发现不算太严重,因为管理良好的网络通常已经封锁了这些外出文件共享连接。“如果你不封堵这些连接,说明你可能还有其他的 [安全] 问题。”
此外,Windows 管理员还应限制 NTLM 流量。
Ullrich 指出,另一个解决方案是在日常的安全意识培训中提醒员工不要随意在互联网上下载 Windows 主题。
Ullrich 还提到,问题在于,某些文件如 Windows 主题在打开时,内容可能会引用额外的外部文件。类似于 HTML 页面从其他服务器加载图片。如果这些额外文件是在 Windows 文件共享上托管,Windows 将自动发送凭据以登录该服务器。这就让恶意 Windows 主题文件能够欺骗用户的计算机,将凭据发送给攻击者。
“真正的问题是,这种情况在各种文件类型中反复出现,” Ullrich 说。“去年是在 Outlook;当你打开一封邮件时,有可能触发从恶意服务器下载文件。这是个反复出现的问题。微软就像在打 whackamole锤子打地鼠,试图消除发生的所有不同点。”
进一步加剧的问题是,用户的密码以易被破解的 NTLM 哈希形式发送,而 Ullrich 称之为“古老算法”。不过他补充说,微软在近期的 Windows 版本中禁用了 NTLM 功能,因此仅旧版本的操作系统可能面临风险。
行动管理解决方案公司 Action1 的总裁兼创始人 Mike Walters 表示,该问题非常严重,因为它影响到从 Windows 7 开始的所有 Windows 客户端。他指出,漏洞并不需要特殊权限进行利用,使得各种潜在攻击者都能轻易接触到。这允许攻击者捕获 NTLM 认证哈希,如果这些哈希被破解或者用于攻击,则可能导致进一步的损害。该漏洞甚至可以通过在 Windows 资源管理器中查看恶意主题文件被触发,仅需最少的用户交互。在某些情况下,如自动下载到下载文件夹,用户甚至可能不知情地触发漏洞。
他指出,在主题文件处理过程中发现了多个地方有问题,可能暗示存在多个类似问题的大量风险。“事实是,几乎在短时间内发现多个漏洞,这表明微软最初的修复可能不够全面,可能是因为时间紧迫或对问题复杂性的低估。考虑到 Windows 主题的多种可能配置和使用方式,微软可能很难彻底测试所有场景。”
正如 Acros 在其博客中详细阐述的,假冒 Windows 主题的问题可以追溯到去年的一
