1997年發(fā)現(xiàn)的微軟自動(dòng)認(rèn)證漏洞從來(lái)沒(méi)有修復(fù)過(guò)，現(xiàn)在研究人員發(fā)現(xiàn)該漏洞能在Windows 8和Windows 10下被利用泄漏微軟 Live 賬號(hào)的登錄信息。漏洞會(huì)曝光用戶(hù)的登錄名和密碼的NTLMv2哈希值，而在GPU加速之下破解哈希密碼不再變得困難。

要觸發(fā)這個(gè)漏洞，攻擊者需要設(shè)置一個(gè)網(wǎng)絡(luò)共享，然后誘騙受害者訪(fǎng)問(wèn)任何共享IP，比如在受害者訪(fǎng)問(wèn)的網(wǎng)站上嵌入指向共享IP的圖像。當(dāng)用戶(hù)使用微軟的產(chǎn)品嘗試訪(fǎng)問(wèn)該鏈接時(shí)它會(huì)向其發(fā)送微軟的賬號(hào)。安全研究人員建議不要使用微軟的瀏覽器或郵件客戶(hù)端訪(fǎng)問(wèn)網(wǎng)絡(luò)共享。Windows 用戶(hù)可以通過(guò) IE 或 Edge 訪(fǎng)問(wèn)這個(gè)Demo了解自己的系統(tǒng)是否存在該漏洞，Chrome 和Firefox 不受影響。