Windows 95 时代的错误可能会在网络上泄露您的 Windows 帐户凭据

黑客在 Windows 8 和 10 上发现了一个已有数十年历史的漏洞，如果您使用 Edge 或 Outlook 等 Microsoft 产品访问它们，该漏洞可能会将您的 Microsoft 帐户用户名和散列密码泄露到任何网站。

该漏洞利用会让黑客在从 SMB 网络共享加载的网页中嵌入图像。 Microsoft 产品将尝试加载网络共享资源，并将活动用户的 Windows 登录凭据、用户名和密码发送到该网络共享。 用户名以明文形式发送，密码以 NTLMv2 散列形式发送。

这带来了两个风险。 由于您的 Microsoft 帐户现在在大多数情况下是您的用户名，因此您的电子邮件地址和身份可能会泄露到随机网站。 更老练的黑客也可以尝试破解您的密码，这将带来更大的风险。

研究提出了 3 种缓解措施：

1. 不要使用 Microsoft 软件连接到网站（例如 Edge 或 Outlook）。 然而，这可能无法避免所有问题。
2. 使用不易破解的强密码。
3. 使用防火墙阻止 SMB 端口。 通过在端口 137/138/139/445 上强制执行出口过滤并丢弃任何离开主机的 IP 数据包，其目的地与这些端口中的任何一个匹配，并将公共 IP 作为目标主机。 这显然对家庭用户比商业用户更有用。

希望很快就会有一个修复程序来解决这个严重的问题。