Windows 10/11 的研究主题文件虽然现在只是壁纸的简单集合，但微软仍然支持此功能并通过.theme 格式允许用户制作、公布下载、主载后安装这类主题。题文新西兰ws超级号

研究人员在主题文件中发现了一个漏洞，漏交互即目前该漏洞已经被修复，洞下因此研究人员公布了漏洞细节以及 PoC 供同行们研究使用(注：原始漏洞来自 Akamai 的无需网研究人员)。

这个漏洞的信息编号是 CVE-2024-21320，漏洞原因是蓝点 Windows 资源管理器会预加载主题文件的缩略图，进而自动连接黑客指定的研究远程 UNC 路径。

如何使用此漏洞展开攻击：

根据研究人员的公布萨摩亚ws老号描述，核心问题在于 Windows 主题文件支持部分参数，主载后例如 BrandImage、题文Wallpaper、漏交互即VisualStyle 等，洞下这些参数具有连接网络的萨摩亚whatsapp老号功能。

当攻击者制作特定的主题文件并修改这些参数指向恶意地址时，用户下载主题文件后，Windows 资源管理器会自动预加载主题文件的缩略图，在这个过程中会自动连接攻击者指定的远程 UNC 路径。

这种情况下不需要用户打开主题文件，萨摩亚whatsapp客服号计算机就会在不知不觉中通过 SMB 协议连接并传输 NTLM 凭据。

NTLM 凭据是关键：

尽管目前没有证据表明攻击者可以利用此漏洞荷载其他恶意软件，但 NTLM 凭据已经是关键问题。

例如攻击者可以通过窃取的 NTLM 哈希值，在网上冒充受害者，萨摩亚ws客服号进而让黑客未经授权访问敏感系统和资源。

亦或者使用密码破解软件，以 NTLM 哈希为起点进行暴力破解，从而获得明文密码，这样可以造成更多攻击。

当然实际上要利用 NTLM 哈希展开攻击也是有难度的，目前没有证据表明该漏洞已经被黑客利用，这枚漏洞的 CVSS 评分为 6.5 分。

微软是如何缓解攻击的：

在 2024 年 1 月份的累积更新中，微软已经引入路径验证来对 UNC 进行验证，同时根据系统策略选择是否允许使用 UNC 路径。同时微软还引入了一个新的注册表项 DisableThumbnailOnNetworkFolder 禁止网络缩略图来降低风险。

不过根据 Akamai 的调查，仅仅查看特制的主题文件就足以触发漏洞，因此微软的缓解方案不够充分。

为此企业应加强预防措施：

NTLM 策略控制：Windows 11 用户可以通过组策略调整阻止 SMB 事务与外部实体的 NTLM 身份验证从而加强防御，支持文档

网络分段：对网络进行微分段，创建具有受控流量的明确定义的域，这样可以防止网络内的横向移动，阻止 NTLM 潜在的危害。

最终用户教育：培训并提醒用户警惕来自不受信任来源的可疑文件，包括主题等不常见的文件类型。

• ·《孤岛惊魂5》三个新DLC预告 可扮演反派角色
• ·哔哩哔哩私信智能拦截在哪里打开
• ·《崩坏：星穹铁道》×老凤祥联动活动开启预约！
• ·使命召唤手游cdk兑换位置介绍
• ·《绝地求生》建立反作弊方案 引入BattleEye系统
• ·《动物园之星》公布新视频 或暗示本作将登陆主机
• ·什么是云顶之弈 云顶之弈新手向基础攻略
• ·粉丝给力 异域镇魂曲续作募资近四百万
• ·光荣新作《奈尔克与传说之炼金术士们》冬季上线
• ·《使命召唤9》天赋技能大调整 上来就有全天赋
• ·Sky光遇7月14日任务攻略大全：送礼、追逐星光、遥鲲、重温回忆任务流程[多图]
• ·《世界汽车拉力锦标赛3》最新赛道视频展示
• ·《荒野大镖客2》首个实机视频放出 支持4K和简体中文
• ·梦幻西游手游定海之弈须弥幻境第三关攻略分享
• ·英雄联盟奇亚娜符文装备推荐 lol元素女皇奇亚娜玩法技巧攻略
• ·热血群英传手游如何提高战斗力 战斗力提升攻略