本周微软于11月例行更新（Patch Tuesday）当中，修补4项零时差漏洞，其中一项已被提前公开，且出现攻击行动的NTLM散列值泄露欺骗漏洞CVE-2024-43451引起外界关注，通报此事的研究人员指出，俄罗斯黑客将其用于攻击乌克兰。

针对这项漏洞，微软在资安公告中提及，这项漏洞涉及IE底层的MSHTML平台、脚本平台，一旦攻击者成功利用漏洞，就有机会泄露NTLMv2散列值，然后借此以用户的名义通过身分验证，过程中需要与用户交互，但他们强调，用户只要与攻击者提供的文件进行极少的交互，就能触发攻击链。

但究竟黑客如何利用这项漏洞？通报此事的资安业者ClearSky表示，他们在今年6月察觉俄罗斯黑客组织UAC-0194将其用于攻击乌克兰企业组织，黑客滥用已遭到入侵的乌克兰政府机关邮件服务器寄送钓鱼信，声称收信人必须依照指示更新学历证明数据，这些信挟带恶意URL文件。

一旦收信人以右键点击、删除、移动，或是与此URL文件进行交互时，就会触发CVE-2024-43451，电脑将与攻击者的服务器连接，下载木马程序SparkRAT及其他作案工具。如此一来，攻击者就能通过SparkRAT控制受害电脑，并设法在电脑重开机后让该木马程序持续运作。

事实上，对于所有Windows电脑的用户而言，只要右键点击攻击者特制的恶意文件，就能触发这个漏洞；若是Windows 10及11的用户，将这类文件删除，或是拖曳到另一个文件夹，也会同样触发攻击链；采用特定组态的Windows 7、8、8.1操作系统，也可能无法幸免。