20年历史的bug被发现会泄漏微软 Live 账号登录信息

1997年发现的微软自动认证漏洞从来没有修复过，现在研究人员发现该漏洞能在Windows 8和Windows 10下被利用泄漏微软 Live 账号的登录信息。 漏洞会曝光用户的登录名和密码的NTLMv2哈希值，而在GPU加速之下破解哈希密码不再变得困难。

要触发这个漏洞，攻击者需要设置一个网络共享，然后诱骗受害者访问任何共享IP，比如在受害者访问的网站上嵌入指向共享IP的图像。当用户使用微软的产品尝试访问该链接时它会向其发送微软的账号。安全研究人 员建议不要使用微软的浏览器或邮件客户端访问网络共享。Windows 用户可以通过 IE 或 Edge 访问这个Demo了解自己的系统是否存在该漏洞，Chrome 和Firefox 不受影响。

稿源：solidot