Windows Themes漏洞CVE-2024-38030获非官方修复

Windows Themes是Windows操作系统中的一种功能，允许用户根据自己喜好对操作系统进行个性化设置，以改变系统的视觉外观和感觉。

Windows Themes中存在一个零日漏洞，允许攻击者窃取目标用户的 NTLM 凭据，该漏洞被追踪为CVE-2024-38030，CVSS评分为6.5。

CVE-2024-38030漏洞与新技术LAN管理器（NTLM）凭据有关，NTLM是一组Microsoft安全协议，用于网络用户和计算机进行身份验证。

CVE-2024-38030零日漏洞允许攻击者窃取用户 NTLM（NT LAN Manager）凭据，该凭证在NTLM中继攻击和传递哈希攻击中广泛利用。

攻击者通过这些方式可以获取用户的敏感信息，一旦获得哈希值，攻击者就可以冒充受害者用户，从而进一步在被攻陷的网络横向移动。

今年一月份的时候，微软修复了CVE-2024-21320漏洞，旨在解决该问题，但 Akamai 研究人员 Tomer Peled 后续发现漏洞未被完全修复。

攻击者可以利用该漏洞制作恶意主题文件，并通过电子邮件或者即时消息方式进行分发，并说服用户操纵文件（但不一定打开）绕过补丁。

该恶意主题文件被加载后可强制 Windows 将经过身份验证网络的请求发送到包含用户NTLM凭据远程主机，如此一来便绕过了官方补丁。

ACROS Security在开发针对 CVE-2024-38030 微补丁时发现这一新漏洞，影响如Windows 7至Windows 11 24H2在内所有Windows 版本。

尽管微软在07月已修复了相关问题，但 ACROS Security 发现该漏洞仍然存在于所有已更新的Windows版本中，影响上述Windows 版本。

因此 ACROS Security 的研究人员创建了一个更通用的补丁，这一微补丁能够覆盖所有导致Windows向远程主机发送网络请求的执行路径。

ACROS Security的首席执行官Mitja Kolsek表示，用户只需创建一个0patch账户并安装0patch代理，即可自动应用补丁，而无需重启系统。