1997 年发现的微软自动认证漏洞从来没有修复过,现在研究人员发现该漏洞能在 Windows 8 和 Windows 10 下被利用泄漏微软 Live 账号的登录信息。漏洞会曝光用户的登录名和密码的 NTLMv2 哈希值,而在 GPU 加速之下破解哈希密码不再变得困难。
要触发这个漏洞,攻击者需要设置一个网络共享,然后诱骗受害者访问任何共享 IP,比如在受害者访问的网站上嵌入指向共享 IP 的图像。当用户使用微软的产品尝试访问该链接时它会向其发送微软的账号。
安全研究人员建议不要使用微软的浏览器或邮件客户端访问网络共享。Windows 用户可以通过 IE 或 Edge 访问这个 Demo 了解自己的系统是否存在该漏洞,Chrome 和 Firefox 不受影响。