針對一個新的Windows零日漏洞（zero-day vulnerability），現已提供免費的非官方補丁。該漏洞允許遠程攻擊者通過誘騙目標在Windows資源管理器中查看惡意文件來竊取NTLM（NT LAN Manager）憑據。

NTLM協議已被廣泛用于NTLM中繼攻擊（NTLM relay attacks，即威脅行為者迫使易受攻擊的網絡設備向攻擊者控制的服務器進行身份驗證）和哈希傳遞攻擊（pass-the-hash attacks，即利用漏洞竊取NTLM哈希值，這些哈希值是經過哈希處理的密碼）。攻擊者隨后使用竊取的哈希值以被入侵用戶的身份進行身份驗證，從而訪問敏感數據并在網絡中橫向擴散。去年，微軟宣布計劃在未來版本的Windows 11中棄用NTLM身份驗證協議。

ACROS Security的研究人員在為另一個NTLM哈希泄露問題開發補丁時，發現了這個新的SCF文件NTLM哈希泄露漏洞。該零日漏洞尚未分配CVE-ID，影響從Windows 7到最新Windows 11版本以及從Server 2008 R2到Server 2025的所有Windows版本。

ACROS Security首席執行官Mitja Kolsek于周二表示：“該漏洞允許攻擊者通過讓用戶在Windows資源管理器中查看惡意文件（例如，打開包含此類文件的共享文件夾或USB磁盤，或查看從攻擊者網頁自動下載的Downloads文件夾）來獲取用戶的NTLM憑據?！彼€指出：“雖然此類漏洞并不嚴重，其可利用性取決于多種因素（例如，攻擊者已經進入受害者網絡或擁有外部目標，如面向公眾的Exchange服務器以中繼竊取的憑據），但它們已被發現用于實際攻擊中?！?/p>

0patch用戶可獲取微補丁

ACROS Security現已通過其0patch微補丁服務為所有受影響的Windows版本提供免費的非官方安全補丁，直到微軟發布官方修復程序。Kolsek補充道：“我們已向微軟報告了此問題，并一如既往地發布了微補丁，這些補丁將保持免費，直到微軟提供官方修復程序。我們暫時保留該漏洞的詳細信息，以盡量減少惡意利用的風險。”

要在Windows PC上安裝微補丁，需創建賬戶并安裝0patch代理程序。啟動后，如果沒有自定義補丁策略阻止，代理程序將自動應用微補丁，無需重啟系統。

近幾個月來，0patch報告了另外三個微軟已修復或尚未修復的零日漏洞，包括Windows主題漏洞（已修復為CVE-2025-21308）、Server 2012上的Mark of the Web繞過漏洞（仍為零日漏洞，無官方補丁）以及URL文件NTLM哈希泄露漏洞（已修復為CVE-2025-21377）。0patch過去還披露了其他NTLM哈希泄露漏洞，如PetitPotam、PrinterBug/SpoolSample和DFSCoerce，這些漏洞尚未獲得補丁。

BleepingComputer今日早些時候聯系微軟時，微軟發言人未能立即提供聲明。