1997年发现的微软自动认证漏洞从来没有修复过,现在研究人员发现该漏洞能在Windows 8和Windows 10下被利用泄漏微软 Live 账号的登录信息。漏洞会曝光用户的登录名和密码的NTLMv2哈希值,而在GPU加速之下破解哈希密码不再变得困难。
要触发这个漏洞,攻击者需要设置一个网络共享,然后诱骗受害者访问任何共享IP,比如在受害者访问的网站上嵌入指向共享IP的图像。当用户使用微软的产品尝试访问该链接时它会向其发送微软的账号。安全研究人员建议不要使用微软的浏览器或邮件客户端访问网络共享。Windows 用户可以通过 IE 或 Edge 访问这个Demo了解自己的系统是否存在该漏洞,Chrome 和Firefox 不受影响。
====================================分割线================================
本文转自d1net(转载)
