Windows 95 時代的錯誤可能會在網絡上洩露您的 Windows 帳戶憑據

黑客在 Windows 8 和 10 上發現了一個已有數十年曆史的漏洞，如果您使用 Edge 或 Outlook 等 Microsoft 產品訪問它們，該漏洞可能會將您的 Microsoft 帳戶用戶名和散列密碼洩露到任何網站。

該漏洞利用會讓黑客在從 SMB 網絡共享加載的網頁中嵌入圖像。 Microsoft 產品將嘗試加載網絡共享資源，並將活動用戶的 Windows 登錄憑據、用戶名和密碼發送到該網絡共享。 用戶名以明文形式發送，密碼以 NTLMv2 散列形式發送。

這帶來了兩個風險。 由於您的 Microsoft 帳戶現在在大多數情況下是您的用戶名，因此您的電子郵件地址和身份可能會洩露到隨機網站。 更老練的黑客也可以嘗試破解您的密碼，這將帶來更大的風險。

研究提出了 3 種緩解措施：

1. 不要使用 Microsoft 軟件連接到網站（例如 Edge 或 Outlook）。 然而，這可能無法避免所有問題。
2. 使用不易破解的強密碼。
3. 使用防火牆阻止 SMB 端口。 通過在端口 137/138/139/445 上強制執行出口過濾並丟棄任何離開主機的 IP 數據包，其目的地與這些端口中的任何一個匹配，並將公共 IP 作為目標主機。 這顯然對家庭用戶比商業用戶更有用。

希望很快就會有一個修復程序來解決這個嚴重的問題。