0Day漏洞重现:新型LNK文件绕过补丁导致NTLM凭据泄露(PoC已公开)

发布时间:2025-10-17 作者:量子计算 来源:量子计算 浏览量(30) 点赞(12)
摘要:LNK文件攻击新型LNK漏洞可绕过微软补丁,实现零点击窃取NTLM凭据,对Windows系统安全构成严重威胁,其PoC已公开,需立即采取防护措施。

简介 

    网络安全研究人员近日发现一种新型LNK文件攻击手法,可绕过微软已发布的补丁,在无需用户交互的情况下(零点击)窃取NTLM凭据。该漏洞利用方式复杂,能够规避现有安全机制,对企业和个人用户构成严重威胁,其概念验证代码(PoC)已在公开渠道发布,增加了现实世界中被滥用的风险。

核心详情 

    此新型LNK漏洞的核心在于其巧妙地修改了LNK文件结构中的特定字段,从而规避了微软针对传统LNK漏洞(如CVE-2010-2568)所部署的安全补丁检测机制。攻击者通过构造恶意的LNK文件,当用户在某些特定场景下(如文件资源管理器中浏览包含该文件的目录,即使不直接双击)触发了系统对LNK文件图标的解析过程,系统便会自动向攻击者控制的服务器发起NTLM认证请求,导致用户的NTLM哈希凭证被窃取。NTLM凭据泄露是横向移动和权限提升的关键跳板,攻击者可以利用这些哈希进行“传递哈希”(Pass-the-Hash)攻击,进一步渗透内网。该技术细节由安全研究团队在公开的分析报告中披露,强调了其绕过现有防护措施的复杂性。

适用范围  

    此威胁主要影响所有使用Windows操作系统的企业网络管理员、安全运维人员以及个人用户。具体场景包括:企业员工在处理来自外部邮件或不明来源的USB设备中的文件时;安全团队在评估内部网络对新型攻击的抵御能力时;任何需要处理或展示LNK文件图标预览的Windows环境。

推荐措施 

    1、立即应用微软发布的最新安全补丁,并确保所有Windows系统(包括终端和服务器)的自动更新功能已开启。同时,在网络边界防火墙策略中,严格限制SMB(445端口)等关键端口的出站连接,以防止NTLM凭据外泄。

    2、建议组织部署能够检测和拦截异常NTLM认证流量的EDR(终端检测与响应)解决方案,并对员工进行安全意识培训,强调不要打开来历不明的文件或访问不受信任的网络共享。可参考权威安全机构发布的关于缓解NTLM Relay攻击的最佳实践文档。

二维码

扫一扫,关注我们

声明:本文由【量子计算】编辑上传发布,转载此文章须经作者同意,并请附上出处【量子计算】及本页链接。如内容、图片有任何版权问题,请联系我们进行处理。

感兴趣吗?

欢迎联系我们,我们愿意为您解答任何有关网站疑难问题!

您身边的【网站建设专家】

搜索千万次不如咨询1次

主营项目:网站建设,手机网站,响应式网站,SEO优化,小程序开发,版权登记,商标注册等

立即咨询 0351-5255612
在线客服
嘿,我来帮您!