保護自己：Windows 檔案總管預覽版中的 NTLM 哈希洩漏漏洞

近期開發成果顯示，Windows 檔案總管的預覽窗格有漏洞，NTLM 密碼雜湊可能因此外洩。此類漏洞使攻擊者能夠重複使用或離線破解這些憑證。為了應對這項風險，微軟已在最新的 Windows 更新中停用了下載內容的檔案預覽功能。本指南概述了防範檔案總管預覽中潛在 NTLM 雜湊值外洩的基本策略。

了解檔案總管預覽版的漏洞

NT LAN Manager (NTLM) 是 Microsoft 為各種 Windows 帳戶和服務設計的驗證協定。儘管由於其安全性缺陷，NTLM 已被 Kerberos 基本取代，但為了向後相容，NTLM 仍在使用。不幸的是，它的存在也帶來了可利用的漏洞。

攻擊者可以利用檔案總管中的預覽功能執行 NTLM 請求，這些請求可能會以雜湊形式洩露本機或網域密碼。在預覽期間，如果檔案包含 NTLM 請求的指令，Windows 可能會無意中處理這些請求，從而將雜湊密碼傳輸到惡意伺服器。網路犯罪分子隨後可以嘗試離線破解這些哈希值，或發動哈希傳遞攻擊。

微軟已確認這些攻擊存在持續威脅。因此，在最新更新中，帶有「網路標記」（MoTW）的檔案（通常是從網路下載的檔案）的預覽將不再顯示。

為了最大限度地降低與 NTLM 雜湊洩漏相關的風險（尤其是來自網路下載檔案的風險），使用者必須採取某些安全措施，因為 Microsoft Defender 無法僅透過檔案掃描就最終偵測到 NTLM 請求嘗試。以下是增強防禦能力的可行步驟：

保持 Windows 更新：確保您的作業系統為最新版本。 10 月 14 日的安全性更新禁用了 MoTW 檔案的檔案預覽。在 Windows 11 中，請前往「設定」 → “Windows 更新」以驗證並安裝所有可用更新。
進行線上行為分析：標準防毒掃描可能無法識別有害的 NTLM 要求。如果您懷疑某個檔案可能是惡意的，請使用行為分析工具在安全環境（沙盒）中開啟該檔案並監控其行為。 Joe Sandbox和MetaDefender等工具都是不錯的選擇。
保護 NTLM 憑證：採取主動措施保護您的 NTLM 憑證，顯著降低被成功入侵的風險。本指南詳細介紹了保護 Windows NTLM 憑證的方法。
在虛擬機器中測試文件行為：建立虛擬環境來評估可疑文件的行為，而不會危及主系統。您可以使用 Hyper-V 或第三方虛擬機器應用程式在預覽期間觀察任何網路活動。
停用系統範圍內的檔案總管預覽：為了徹底防止透過檔案預覽洩漏 NTLM 雜湊值，請考慮完全停用預覽處理程序。開啟檔案總管，從「檢視更多」功能表中選擇「選項」，導覽至「檢視」標籤，然後取消勾選「在預覽窗格中顯示預覽處理程序」選項。