新型 Windows 零日漏洞可致远程攻击者窃取 NTLM 凭证 - 非官方补丁发布

漏洞影响范围广泛

该高危漏洞影响从Windows 7和Server 2008 R2到最新Windows 11 v24H2及Server 2025的新型所有Windows操作系统版本。攻击者只需诱使用户在Windows资源管理器中查看恶意文件，日漏即可利用该零日漏洞窃取NTLM（NT LAN Manager）身份验证凭证。洞可丁

漏洞触发场景包括
：打开共享文件夹、致远插入包含恶意文件的程攻USB驱动器 ，甚至仅浏览曾从攻击者网站下载过此类文件的凭证"下载"文件夹 。服务器租用

NTLM漏洞已被实际利用

新发现的非官方补漏洞与此前已修复的URL文件漏洞（CVE-2025-21377）具有相似的攻击场景，但其底层技术原理存在差异且此前未被公开披露 。新型安全研究人员在微软发布官方补丁前暂未公开具体利用细节，日漏但确认该漏洞确实能通过恶意文件交互实现凭证窃取 。洞可丁

虽然未被归类为"高危"，建站模板致远但该NTLM凭证窃取漏洞仍具严重威胁，程攻特别是凭证在攻击者已获得网络访问权限或可针对Exchange等对外服务器的环境中。安全情报证实，非官方补此类漏洞已在真实攻击中被活跃利用
。新型

微补丁临时防护方案

研究团队已根据责任披露原则向微软报告该漏洞。在等待官方修复期间，亿华云他们通过0patch平台发布了临时微补丁方案 。这些微补丁将保持免费提供，直至微软推出永久解决方案 。

这是该研究团队近期发现的第四个零日漏洞 ，前三个分别为：

Windows主题文件漏洞（已修复，编号CVE-2025-21308）Server 2012上的免费模板"网络标记"漏洞（仍未修复）URL文件NTLM哈希泄露漏洞（已修复，编号CVE-2025-21377）

此外，2024年1月报告的"EventLogCrasher"漏洞（允许攻击者禁用域内计算机的Windows事件日志记录功能）目前仍未获微软修复 。

支持系统版本清单

临时安全补丁支持包括以下版本的Windows系统 ：

旧版Windows
：

Windows 11 v21H2及更早的Windows 10版本（v21H2/v21H1/v20H2等）不同扩展安全更新（ESU）状态的香港云服务器Windows 7多种ESU配置的Windows Server 2012/2012 R2/2008 R2

当前支持版本：

Windows 11（v24H2/v23H2/v22H2）Windows 10 v22H2Windows Server 2025/2022/2019/2016启用ESU 2的Windows Server 2012/2012 R2

已安装0patch Agent的PRO或企业账户受影响系统将自动接收微补丁。新用户需在0patch Central创建免费账户，启用试用并安装注册0patch Agent 。整个过程无需系统重启 ，补丁将自动部署，模板下载在等待微软官方修复期间提供即时防护 。