Windows 10/11 的主題檔案雖然現在只是壁紙的簡單集合，但微軟仍然支援此功能並透過.theme 格式允許使用者製作、下載、安裝這類主題。研究人員在主題文件中發現了一個漏洞，目前該漏洞已經被修復，因此研究人員公佈了漏洞細節以及PoC 供同行們研究使用(註：原始漏洞來自Akamai 的研究人員)。

這個漏洞的編號是CVE-2024-21320，漏洞原因是Windows 資源管理器會預先載入主題檔案的縮圖，進而自動連線駭客指定的遠端UNC 路徑。

如何使用此漏洞展開攻擊：

根據研究人員的描述，核心問題在於Windows 主題檔案支援部分參數，例如Br​​andImage、Wallpaper、VisualStyle 等，這些參數具有連接網路的功能。

當攻擊者製作特定的主題檔案並修改這些參數指向惡意位址時，使用者下載主題檔案後，Windows 資源管理器會自動預先載入主題檔案的縮圖，在這個過程中會自動連線攻擊者指定的遠端UNC路徑。

這種情況下不需要使用者開啟主題文件，電腦就會在不知不覺中透過SMB 協定連接並傳輸NTLM 憑證。

NTLM 憑證是關鍵：

儘管目前沒有證據表明攻擊者可以利用此漏洞荷載其他惡意軟體，但NTLM 憑證已經是關鍵問題。

例如攻擊者可以透過竊取的NTLM 雜湊值，在網路上冒充受害者，進而讓駭客未經授權存取敏感系統和資源。

亦或使用密碼破解軟體，以NTLM 雜湊為起點進行暴力破解，從而獲得明文密碼，這樣可以造成更多攻擊。

當然實際上要利用NTLM 哈希展開攻擊也是有難度的，目前沒有證據表明該漏洞已經被駭客利用，這枚漏洞的CVSS 評分為6.5 分。

微軟是如何緩解攻擊的：

在2024 年1 月的累積更新中，微軟已經引入路徑驗證來對UNC 進行驗證，同時根據系統策略選擇是否允許使用UNC 路徑。同時微軟也引進了一個新的註冊表項DisableThumbnailOnNetworkFolder 禁止網路縮圖來降低風險。

不過根據Akamai 的調查，光是查看特製的主題檔案就足以觸發漏洞，因此微軟的緩解方案不夠充分。

為此企業應加強預防措施：

NTLM 政策控制：Windows 11 使用者可以透過群組原則調整阻止SMB 事務與外部實體的NTLM 驗證從而加強防禦，支援文件。

網路分段：對網路進行微分段，創建具有受控流量的明確定義的域，這樣可以防止網路內的橫向移動，阻止NTLM 潛在的危害。

最終使用者教育：訓練並提醒使用者晶體來自不受信任來源的可疑文件，包括主題等不常見的文件類型。