研究人员公布Windows 10/11主题文件漏洞 下载后无需交互即可窃取信息 – 蓝点网 - {$web_name} 当下该漏洞已然被修复

Windows 10/11 的主题文件尽管如今只是壁纸的简易集合，但微软依然扶持此特性并经由.theme 格式允许使用者制作、获取、部署这类主题。评论智能手机

探究人员在主题文件中察觉了一个漏洞，当下该漏洞已然被修复，所以探究人员公开了漏洞详情以及 PoC 供同行们探究使用(注：原始漏洞来自 Akamai 的探究人员)。

这个漏洞的编号是 CVE-2024-21320，漏洞缘由是 Windows 资源治理器会预加载主题文件的缩略图，进而自动连接黑客指定的远程 UNC 路径。

如何使用此漏洞展开攻击：

依据探究人员的汇总专题刻画，核心难题在于 Windows 主题文件扶持若干参数，例如 BrandImage、Wallpaper、VisualStyle 等，这些参数具有连接联网的最新泰勒解读特性。

当攻击者制作特定的主题文件并更改这些参数指向恶意地址时，使用者获取主题文件后，Windows 资源治理器会自动预加载主题文件的缩略图，在这个过程中会自动连接攻击者指定的远程 UNC 路径。

这种状况下不需要使用者开启主题文件，谢娜相关官宣消息引关注计算机就会在不知不觉中经由 SMB 协议连接并传输 NTLM 凭据。

NTLM 凭据是核心：

尽管当下没有证据表明攻击者可以运用此漏洞荷载其他恶意使用，但 NTLM 凭据已然是核心难题。

例如攻击者可以经由窃取的 NTLM 哈希值，在网上冒充受害者，进而让黑客未经授权访问敏感操控系统和资源。

亦或者使用密码破解使用，以 NTLM 哈希为起点开展暴力破解，从而获得明文密码，这样可以导致更多攻击。

自然实际上要运用 NTLM 哈希展开攻击也是有难度的，当下没有证据表明该漏洞已然被黑客运用，这枚漏洞的 CVSS 评分为 6.5 分。

微软是如何缓解攻击的：

在 2024 年 1 月份的累积升级中，微软已然引入路径测试来对 UNC 开展测试，另外依据操控系统策略挑选是否允许使用 UNC 路径。另外微软还引入了一个新的开户表项 DisableThumbnailOnNetworkFolder 禁止联网缩略图来下降隐患。

可是依据 Akamai 的调研，仅仅查看特制的主题文件就足以触发漏洞，所以微软的缓解计划不够充分。

为此企业应加强预防举措：

NTLM 策略控制：Windows 11 使用者可以经由组策略改动阻止 SMB 事务与外部实体的 NTLM 身份测试从而加强防御，扶持文档

联网分段：对联网开展微分段，兴办具有受控流量的明确定义的域，这样可以防止联网内的横向移动，阻止 NTLM 潜在的危害。

最后使用者教学：培训并提醒使用者警惕来自不受信任来源的可疑文件，含有主题等不普遍的文件类型。