近日，安全研究人員披露了一個新型 Windows 零日漏洞，影響從Windows 7和Server 2008 R2到最新Windows 11 v24H2及Server 2025的所有Windows操作系統版本。攻擊者只需誘使用戶在Windows資源管理器中查看惡意文件，即可利用該零日漏洞竊取NTLM（NT LAN Manager）身份驗證憑證。

漏洞觸發場景包括：打開共享文件夾、插入包含惡意文件的USB驅動器，甚至僅瀏覽曾從攻擊者網站下載過此類文件的"下載"文件夾。

NTLM漏洞已被實際利用

新發現的漏洞與此前已修復的URL文件漏洞（CVE-2025-21377）具有相似的攻擊場景，但其底層技術原理存在差異且此前未被公開披露。安全研究人員在微軟發布官方補丁前暫未公開具體利用細節，但確認該漏洞確實能通過惡意文件交互實現憑證竊取。

雖然未被歸類為"高危"，但該NTLM憑證竊取漏洞仍具嚴重威脅，特別是在攻擊者已獲得網絡訪問權限或可針對Exchange等對外服務器的環境中。安全情報證實，此類漏洞已在真實攻擊中被活躍利用。

微補丁臨時防護方案

研究團隊已根據責任披露原則向微軟報告該漏洞。在等待官方修復期間，他們通過0patch平臺發布了臨時微補丁方案。這些微補丁將保持免費提供，直至微軟推出永久解決方案。

這是該研究團隊近期發現的第四個零日漏洞，前三個分別為：

• Windows主題文件漏洞（已修復，編號CVE-2025-21308）

• Server 2012上的"網絡標記"漏洞（仍未修復）

• URL文件NTLM哈希泄露漏洞（已修復，編號CVE-2025-21377）

此外，2024年1月報告的"EventLogCrasher"漏洞（允許攻擊者禁用域內計算機的Windows事件日志記錄功能）目前仍未獲微軟修復。

支持系統版本清單

臨時安全補丁支持包括以下版本的Windows系統：

舊版Windows：

• Windows 11 v21H2及更早的Windows 10版本（v21H2/v21H1/v20H2等）

• 不同擴展安全更新（ESU）狀態的Windows 7

• 多種ESU配置的Windows Server 2012/2012 R2/2008 R2

當前支持版本：

• Windows 11（v24H2/v23H2/v22H2）

• Windows 10 v22H2

• Windows Server 2025/2022/2019/2016

• 啟用ESU 2的Windows Server 2012/2012 R2

已安裝0patch Agent的PRO或企業賬戶受影響系統將自動接收微補丁。新用戶需在0patch Central創建免費賬戶，啟用試用并安裝注冊0patch Agent。整個過程無需系統重啟，補丁將自動部署，在等待微軟官方修復期間提供即時防護。