Windows 10/11 的主題文件雖然現在隻是壁紙的簡單集合，但微軟仍然支持此功能並通過.theme 格式允許用戶製作、下載、安裝這類主題。

研究人員在主題文件中發現了一個漏洞，目前該漏洞已經被修複，因此研究人員公布了漏洞細節以及 PoC 供同行們研究使用(注：原始漏洞來自 Akamai 的研究人員)。

這個漏洞的編號是 CVE-2024-21320，漏洞原因是 Windows 資源管理器會預加載主題文件的縮略圖，進而自動連接黑客指定的遠程 UNC 路徑。

如何使用此漏洞展開攻擊：

根據研究人員的描述，核心問題在於 Windows 主題文件支持部分參數，例如 BrandImage、Wallpaper、VisualStyle 等，這些參數具有連接網絡的功能。

當攻擊者製作特定的主題文件並修改這些參數指向惡意地址時，用戶下載主題文件後，Windows 資源管理器會自動預加載主題文件的縮略圖，在這個過程中會自動連接攻擊者指定的遠程 UNC 路徑。

這種情況下不需要用戶打開主題文件，計算機就會在不知不覺中通過 SMB 協議連接並傳輸 NTLM 憑據。

NTLM 憑據是關鍵：

盡管目前沒有證據表明攻擊者可以利用此漏洞荷載其他惡意軟件，但 NTLM 憑據已經是關鍵問題。

例如攻擊者可以通過竊取的 NTLM 哈希值，在網上冒充受害者，進而讓黑客未經授權訪問敏感係統和資源。

亦或者使用密碼破解軟件，以 NTLM 哈希為起點進行暴力破解，從而獲得明文密碼，這樣可以造成更多攻擊。

當然實際上要利用 NTLM 哈希展開攻擊也是有難度的，目前沒有證據表明該漏洞已經被黑客利用，這枚漏洞的 CVSS 評分為 6.5 分。

微軟是如何緩解攻擊的：

在 2024 年 1 月份的累積更新中，微軟已經引入路徑驗證來對 UNC 進行驗證，同時根據係統策略選擇是否允許使用 UNC 路徑。同時微軟還引入了一個新的注冊表項 DisableThumbnailOnNetworkFolder 禁止網絡縮略圖來降低風險。

不過根據 Akamai 的調查，僅僅查看特製的主題文件就足以觸發漏洞，因此微軟的緩解方案不夠充分。

為此企業應加強預防措施：

NTLM 策略控製：Windows 11 用戶可以通過組策略調整阻止 SMB 事務與外部實體的 NTLM 身份驗證從而加強防禦，支持文檔

網絡分段：對網絡進行微分段，創建具有受控流量的明確定義的域，這樣可以防止網絡內的橫向移動，阻止 NTLM 潛在的危害。

最終用戶教育：培訓並提醒用戶警惕來自不受信任來源的可疑文件，包括主題等不常見的文件類型。

(责任编辑：方三俊)