0Day漏洞重现:新型LNK文件绕过补丁导致NTLM凭据泄露(PoC已公开)
简介
网络安全研究人员近日发现一种新型LNK文件攻击手法,可绕过微软已发布的补丁,在无需用户交互的情况下(零点击)窃取NTLM凭据。该漏洞利用方式复杂,能够规避现有安全机制,对企业和个人用户构成严重威胁,其概念验证代码(PoC)已在公开渠道发布,增加了现实世界中被滥用的风险。
核心详情
此新型LNK漏洞的核心在于其巧妙地修改了LNK文件结构中的特定字段,从而规避了微软针对传统LNK漏洞(如CVE-2010-2568)所部署的安全补丁检测机制。攻击者通过构造恶意的LNK文件,当用户在某些特定场景下(如文件资源管理器中浏览包含该文件的目录,即使不直接双击)触发了系统对LNK文件图标的解析过程,系统便会自动向攻击者控制的服务器发起NTLM认证请求,导致用户的NTLM哈希凭证被窃取。NTLM凭据泄露是横向移动和权限提升的关键跳板,攻击者可以利用这些哈希进行“传递哈希”(Pass-the-Hash)攻击,进一步渗透内网。该技术细节由安全研究团队在公开的分析报告中披露,强调了其绕过现有防护措施的复杂性。
适用范围
此威胁主要影响所有使用Windows操作系统的企业网络管理员、安全运维人员以及个人用户。具体场景包括:企业员工在处理来自外部邮件或不明来源的USB设备中的文件时;安全团队在评估内部网络对新型攻击的抵御能力时;任何需要处理或展示LNK文件图标预览的Windows环境。
推荐措施
1、立即应用微软发布的最新安全补丁,并确保所有Windows系统(包括终端和服务器)的自动更新功能已开启。同时,在网络边界防火墙策略中,严格限制SMB(445端口)等关键端口的出站连接,以防止NTLM凭据外泄。
2、建议组织部署能够检测和拦截异常NTLM认证流量的EDR(终端检测与响应)解决方案,并对员工进行安全意识培训,强调不要打开来历不明的文件或访问不受信任的网络共享。可参考权威安全机构发布的关于缓解NTLM Relay攻击的最佳实践文档。
扫一扫,关注我们