漏洞影響范圍廣泛

該高危漏洞影響從Windows 7和Server 2008 R2到最新Windows 11 v24H2及Server 2025的所有Windows操作系統(tǒng)版本。攻擊者只需誘使用戶在Windows資源管理器中查看惡意文件，即可利用該零日漏洞竊取NTLM（NT LAN Manager）身份驗證憑證。

漏洞觸發(fā)場景包括：打開共享文件夾、插入包含惡意文件的USB驅(qū)動器，甚至僅瀏覽曾從攻擊者網(wǎng)站下載過此類文件的"下載"文件夾。

NTLM漏洞已被實際利用

新發(fā)現(xiàn)的漏洞與此前已修復(fù)的URL文件漏洞（CVE-2025-21377）具有相似的攻擊場景，但其底層技術(shù)原理存在差異且此前未被公開披露。安全研究人員在微軟發(fā)布官方補丁前暫未公開具體利用細(xì)節(jié)，但確認(rèn)該漏洞確實能通過惡意文件交互實現(xiàn)憑證竊取。

雖然未被歸類為"高危"，但該NTLM憑證竊取漏洞仍具嚴(yán)重威脅，特別是在攻擊者已獲得網(wǎng)絡(luò)訪問權(quán)限或可針對Exchange等對外服務(wù)器的環(huán)境中。安全情報證實，此類漏洞已在真實攻擊中被活躍利用。

微補丁臨時防護(hù)方案

研究團(tuán)隊已根據(jù)責(zé)任披露原則向微軟報告該漏洞。在等待官方修復(fù)期間，他們通過0patch平臺發(fā)布了臨時微補丁方案。這些微補丁將保持免費提供，直至微軟推出永久解決方案。

這是該研究團(tuán)隊近期發(fā)現(xiàn)的第四個零日漏洞，前三個分別為：

• Windows主題文件漏洞（已修復(fù)，編號CVE-2025-21308）
• Server 2012上的"網(wǎng)絡(luò)標(biāo)記"漏洞（仍未修復(fù)）
• URL文件NTLM哈希泄露漏洞（已修復(fù)，編號CVE-2025-21377）

此外，2024年1月報告的"EventLogCrasher"漏洞（允許攻擊者禁用域內(nèi)計算機(jī)的Windows事件日志記錄功能）目前仍未獲微軟修復(fù)。

支持系統(tǒng)版本清單

臨時安全補丁支持包括以下版本的Windows系統(tǒng)：

舊版Windows：

• Windows 11 v21H2及更早的Windows 10版本（v21H2/v21H1/v20H2等）
• 不同擴(kuò)展安全更新（ESU）狀態(tài)的Windows 7
• 多種ESU配置的Windows Server 2012/2012 R2/2008 R2

當(dāng)前支持版本：

• Windows 11（v24H2/v23H2/v22H2）
• Windows 10 v22H2
• Windows Server 2025/2022/2019/2016
• 啟用ESU 2的Windows Server 2012/2012 R2

已安裝0patch Agent的PRO或企業(yè)賬戶受影響系統(tǒng)將自動接收微補丁。新用戶需在0patch Central創(chuàng)建免費賬戶，啟用試用并安裝注冊0patch Agent。整個過程無需系統(tǒng)重啟，補丁將自動部署，在等待微軟官方修復(fù)期間提供即時防護(hù)。