Windows 10/11 漏洞通过欺骗攻击泄露 NTLM 哈希（CVE-2024-21302）

Windows 10/11 NTLM 哈希泄露漏洞可导致欺骗攻击

安全研究人员近日披露了 Windows 10 和 11 中的一个严重漏洞，该漏洞允许攻击者通过**欺骗攻击（Spoofing Attack）**泄露 NTLM 哈希。该漏洞被追踪为 CVE-2024-21302，已在 Exploit Database 上公开，并对依赖 Windows 身份验证机制的企业构成重大风险。

技术细节

该漏洞利用了 NTLM（NT LAN Manager） 身份验证协议中的弱点。NTLM 是一种历史悠久但仍广泛使用的 Windows 网络身份验证方法。攻击者可利用此漏洞实现以下攻击：

• 伪造合法服务，诱使用户向恶意服务器进行身份验证。
• 拦截传输中的 NTLM 哈希，随后进行离线破解或用于传递哈希攻击（Pass-the-Hash Attacks）。
• 绕过依赖 NTLM 的安全控制，包括部分**单点登录（SSO）**实现。

该漏洞利用代码（ID: 52478）无需提升权限，因此低级别攻击者也可轻松利用。尽管微软尚未发布详细安全公告，但该漏洞可能源于 NTLM 挑战-响应机制处理不当。

影响分析

NTLM 哈希的泄露可能带来严重风险，包括：

• 凭据窃取：攻击者可破解 NTLM 哈希以获取明文密码，尤其是在使用弱密码或重复密码的情况下。
• 横向移动：被泄露的哈希可用于传递哈希攻击，帮助攻击者在网络内横向移动。
• 权限提升：在使用 NTLM 进行特权访问的环境中，攻击者可能提升其权限。
• 企业风险：使用遗留系统、混合环境或依赖 NTLM 的第三方集成的组织尤其易受攻击。

安全团队建议

为缓解 CVE-2024-21302 带来的风险，安全专业人员应采取以下措施：

1. 应用微软补丁：关注并部署微软发布的最新安全更新，修复该漏洞。
2. 禁用 NTLM（如可能）：过渡到 Kerberos 或现代身份验证协议（如 OAuth 2.0、SAML），减少对 NTLM 的依赖。
3. 强制启用 SMB 签名：要求SMB 签名以防止利用 NTLM 的中继攻击。
4. 实施网络分段：通过网络分段限制横向移动，并限制 NTLM 流量。
5. 监控可疑活动：使用 SIEM 工具检测异常的 NTLM 身份验证尝试或哈希拦截。
6. 用户培训：培训员工识别可能触发 NTLM 身份验证的钓鱼和欺骗攻击。

后续步骤

由于 NTLM 在企业环境中广泛使用，组织应优先修补漏洞并加固协议。安全团队建议审查身份验证日志，查找潜在的漏洞利用迹象，并评估其面临的 NTLM 攻击风险。

更多详情，请参阅 Exploit Database 上的原始漏洞披露。