保护自己：Windows 文件资源管理器预览版中的 NTLM 哈希泄漏漏洞

近期开发成果显示，Windows 文件资源管理器的预览窗格存在漏洞，NTLM 密码哈希值可能因此泄露。此类漏洞使攻击者能够重复使用或离线破解这些凭据。为了应对这一风险，微软已在最新的 Windows 更新中禁用了下载内容的文件预览功能。本指南概述了防范文件资源管理器预览中潜在 NTLM 哈希值泄露的基本策略。

了解文件资源管理器预览版的漏洞

NT LAN Manager (NTLM) 是 Microsoft 为各种 Windows 帐户和服务设计的身份验证协议。尽管由于其安全性缺陷，NTLM 已被 Kerberos 基本取代，但为了向后兼容，NTLM 仍在使用。不幸的是，它的存在也带来了可利用的漏洞。

攻击者可以利用文件资源管理器中的预览功能执行 NTLM 请求，这些请求可能会以哈希形式泄露本地或域密码。在预览期间，如果文件包含 NTLM 请求的指令，Windows 可能会无意中处理这些请求，从而将哈希密码传输到恶意服务器。网络犯罪分子随后可以尝试离线破解这些哈希值，或者发起哈希传递攻击。

微软已确认这些攻击存在持续威胁。因此，在最新更新中，带有“网络标记”（MoTW）的文件（通常是从互联网下载的文件）的预览将不再显示。

保护您的系统免受 NTLM 哈希泄漏

为了最大限度地降低与 NTLM 哈希泄漏相关的风险（尤其是来自互联网下载文件的风险），用户必须采取某些安全措施，因为 Microsoft Defender 无法仅通过文件扫描就最终检测到 NTLM 请求尝试。以下是增强防御能力的可行步骤：

保持 Windows 更新：确保您的操作系统为最新版本。10 月 14 日的安全更新禁用了 MoTW 文件的文件预览。在 Windows 11 中，请前往“设置” → “Windows 更新”以验证并安装所有可用更新。
进行在线行为分析：标准防病毒扫描可能无法识别有害的 NTLM 请求。如果您怀疑某个文件可能是恶意的，请使用行为分析工具在安全环境（沙盒）中打开该文件并监控其行为。Joe Sandbox和MetaDefender等工具是不错的选择。
保护 NTLM 凭据：采取主动措施保护您的 NTLM 凭据，显著降低被成功入侵的风险。本指南详细介绍了保护 Windows NTLM 凭据的方法。
在虚拟机中测试文件行为：创建虚拟环境来评估可疑文件的行为，而不会危及主系统。您可以使用 Hyper-V 或第三方虚拟机应用程序在预览期间观察任何网络活动。
禁用系统范围内的文件资源管理器预览：为了彻底防止通过文件预览泄露 NTLM 哈希值，请考虑完全禁用预览处理程序。打开文件资源管理器，从“查看更多”菜单中选择“选项”，导航到“查看”选项卡，然后取消选中“在预览窗格中显示预览处理程序”选项。