研究人员公布Windows 10/11主题文件漏洞 下载后无需交互即可窃取信息

Windows10/11的主题文件虽然现在只是壁纸的简单集合，但微软仍然支持此功能并通过.theme格式允许用户制作、下载、安装这类主题。研究人员在主题文件中发现了一个漏洞，目前该漏洞已经被修复，因此研究人员公布了漏洞细节以及PoC供同行们研究使用(注：原始漏洞来自Akamai的研究人员)。

这个漏洞的编号是CVE-2024-21320，漏洞原因是Windows资源管理器会预加载主题文件的缩略图，进而自动连接黑客指定的远程UNC路径。

如何使用此漏洞展开攻击：

根据研究人员的描述，核心问题在于Windows主题文件支持部分参数，例如BrandImage、Wallpaper、VisualStyle等，这些参数具有连接网络的功能。

当攻击者制作特定的主题文件并修改这些参数指向恶意地址时，用户下载主题文件后，Windows资源管理器会自动预加载主题文件的缩略图，在这个过程中会自动连接攻击者指定的远程UNC路径。

这种情况下不需要用户打开主题文件，计算机就会在不知不觉中通过SMB协议连接并传输NTLM凭据。

NTLM凭据是关键：

尽管目前没有证据表明攻击者可以利用此漏洞荷载其他恶意软件，但NTLM凭据已经是关键问题。

例如攻击者可以通过窃取的NTLM哈希值，在网上冒充受害者，进而让黑客未经授权访问敏感系统和资源。

亦或者使用密码破解软件，以NTLM哈希为起点进行暴力破解，从而获得明文密码，这样可以造成更多攻击。

当然实际上要利用NTLM哈希展开攻击也是有难度的，目前没有证据表明该漏洞已经被黑客利用，这枚漏洞的CVSS评分为6.5分。

微软是如何缓解攻击的：

在2024年1月份的累积更新中，微软已经引入路径验证来对UNC进行验证，同时根据系统策略选择是否允许使用UNC路径。同时微软还引入了一个新的注册表项DisableThumbnailOnNetworkFolder禁止网络缩略图来降低风险。

不过根据Akamai的调查，仅仅查看特制的主题文件就足以触发漏洞，因此微软的缓解方案不够充分。

为此企业应加强预防措施：

NTLM策略控制：Windows11用户可以通过组策略调整阻止SMB事务与外部实体的NTLM身份验证从而加强防御，支持文档。

网络分段：对网络进行微分段，创建具有受控流量的明确定义的域，这样可以防止网络内的横向移动，阻止NTLM潜在的危害。

最终用户教育：培训并提醒用户晶体来自不受信任来源的可疑文件，包括主题等不常见的文件类型。