俄羅斯駭客利用NTLM雜湊洩漏欺騙零時差漏洞，攻擊烏克蘭企業組織

本週微軟於11月例行更新（Patch Tuesday）當中，修補4項零時差漏洞，其中一項已被提前公開，且出現攻擊行動的NTLM雜湊值洩露欺騙漏洞CVE-2024-43451引起外界關注，通報此事的研究人員指出，俄羅斯駭客將其用於攻擊烏克蘭。

針對這項漏洞，微軟在資安公告中提及，這項漏洞涉及IE底層的MSHTML平臺、指令碼平臺，一旦攻擊者成功利用漏洞，就有機會洩露NTLMv2雜湊值，然後藉此以使用者的名義通過身分驗證，過程中需要與使用者互動，但他們強調，使用者只要與攻擊者提供的檔案進行極少的互動，就能觸發攻擊鏈。

但究竟駭客如何利用這項漏洞？通報此事的資安業者ClearSky表示，他們在今年6月察覺俄羅斯駭客組織UAC-0194將其用於攻擊烏克蘭企業組織，駭客濫用已遭到入侵的烏克蘭政府機關郵件伺服器寄送釣魚信，聲稱收信人必須依照指示更新學歷證明資料，這些信挾帶惡意URL檔案。

一旦收信人以右鍵點選、刪除、移動，或是與此URL檔案進行互動時，就會觸發CVE-2024-43451，電腦將與攻擊者的伺服器連線，下載木馬程式SparkRAT及其他作案工具。如此一來，攻擊者就能透過SparkRAT控制受害電腦，並設法在電腦重開機後讓該木馬程式持續運作。

事實上，對於所有Windows電腦的用戶而言，只要右鍵點選攻擊者特製的惡意檔案，就能觸發這個漏洞；若是Windows 10及11的用戶，將這類檔案刪除，或是拖曳到另一個資料夾，也會同樣觸發攻擊鏈；採用特定組態的Windows 7、8、8.1作業系統，也可能無法倖免。