即可窃需交互蓝点网取信息研究人员公布洞 下1主题载后无文件漏
仅仅查看特制的研究主题文件就足以触发漏洞 ,这样可以造成更多攻击。公布同时微软还引入了一个新的主载后注册表项 DisableThumbnailOnNetworkFolder 禁止网络缩略图来降低风险。
例如攻击者可以通过窃取的题文 NTLM 哈希值,Wallpaper、漏交互即


NTLM 凭据是关键 :

尽管目前没有证据表明攻击者可以利用此漏洞荷载其他恶意软件,但 NTLM 凭据已经是关键问题。微软已经引入路径验证来对 UNC 进行验证,
Windows 10/11 的主题文件虽然现在只是壁纸的简单集合,用户下载主题文件后,同时根据系统策略选择是否允许使用 UNC 路径。
亦或者使用密码破解软件,
为此企业应加强预防措施:
NTLM 策略控制 :Windows 11 用户可以通过组策略调整阻止 SMB 事务与外部实体的 NTLM 身份验证从而加强防御,目前该漏洞已经被修复,
当然实际上要利用 NTLM 哈希展开攻击也是有难度的,进而让黑客未经授权访问敏感系统和资源。
微软是如何缓解攻击的 :
在 2024 年 1 月份的累积更新中 ,
当攻击者制作特定的主题文件并修改这些参数指向恶意地址时 ,VisualStyle 等,阻止 NTLM 潜在的危害。
不过根据 Akamai 的调查 ,Windows 资源管理器会自动预加载主题文件的缩略图 ,

如何使用此漏洞展开攻击:
根据研究人员的描述,支持文档
网络分段 :对网络进行微分段 ,
这种情况下不需要用户打开主题文件,
这个漏洞的编号是 CVE-2024-21320,创建具有受控流量的明确定义的域,因此研究人员公布了漏洞细节以及 PoC 供同行们研究使用(注:原始漏洞来自 Akamai 的研究人员)。包括主题等不常见的文件类型。在这个过程中会自动连接攻击者指定的远程 UNC 路径。在网上冒充受害者 ,下载 、安装这类主题。例如 BrandImage、
最终用户教育 :培训并提醒用户警惕来自不受信任来源的可疑文件 ,
研究人员在主题文件中发现了一个漏洞,漏洞原因是 Windows 资源管理器会预加载主题文件的缩略图,

