Windows10/11的主題文件雖然現在隻是壁紙的簡單集合,但微軟仍然支持此功能並通過.theme格式允許用戶制作、下載、安裝這類主題。研究人員在主題文件中發現一個漏洞,目前該漏洞已經被修復,因此研究人員公佈漏洞細節以及PoC供同行們研究使用(註:原始漏洞來自Akamai的研究人員)。
這個漏洞的編號是 CVE-2024-21320,漏洞原因是 Windows 資源管理器會預加載主題文件的縮略圖,進而自動連接黑客指定的遠程 UNC 路徑。
如何使用此漏洞展開攻擊:
根據研究人員的描述,核心問題在於 Windows 主題文件支持部分參數,例如 BrandImage、Wallpaper、VisualStyle 等,這些參數具有連接網絡的功能。
當攻擊者制作特定的主題文件並修改這些參數指向惡意地址時,用戶下載主題文件後,Windows 資源管理器會自動預加載主題文件的縮略圖,在這個過程中會自動連接攻擊者指定的遠程 UNC 路徑。
這種情況下不需要用戶打開主題文件,計算機就會在不知不覺中通過 SMB 協議連接並傳輸 NTLM 憑據。
NTLM 憑據是關鍵:
盡管目前沒有證據表明攻擊者可以利用此漏洞荷載其他惡意軟件,但 NTLM 憑據已經是關鍵問題。
例如攻擊者可以通過竊取的 NTLM 哈希值,在網上冒充受害者,進而讓黑客未經授權訪問敏感系統和資源。
亦或者使用密碼破解軟件,以 NTLM 哈希為起點進行暴力破解,從而獲得明文密碼,這樣可以造成更多攻擊。
當然實際上要利用 NTLM 哈希展開攻擊也是有難度的,目前沒有證據表明該漏洞已經被黑客利用,這枚漏洞的 CVSS 評分為 6.5 分。
微軟是如何緩解攻擊的:
在 2024 年 1 月份的累積更新中,微軟已經引入路徑驗證來對 UNC 進行驗證,同時根據系統策略選擇是否允許使用 UNC 路徑。同時微軟還引入一個新的註冊表項 DisableThumbnailOnNetworkFolder 禁止網絡縮略圖來降低風險。
不過根據 Akamai 的調查,僅僅查看特制的主題文件就足以觸發漏洞,因此微軟的緩解方案不夠充分。
為此企業應加強預防措施:
NTLM 策略控制:Windows 11 用戶可以通過組策略調整阻止 SMB 事務與外部實體的 NTLM 身份驗證從而加強防禦,支持文檔。
網絡分段:對網絡進行微分段,創建具有受控流量的明確定義的域,這樣可以防止網絡內的橫向移動,阻止 NTLM 潛在的危害。
最終用戶教育:培訓並提醒用戶晶體來自不受信任來源的可疑文件,包括主題等不常見的文件類型。