NTLM-tyveriangreb har fået Microsoft til at deaktivere forhåndsvisningsruden i Stifinder for filer downloadet fra internettet. Ændringen blev indført for at forhindre hackere i at stjæle brugeroplysninger gennem ondsindede filer. Opdateringen styrker sikkerheden i Windows 11 og Windows Server ved at forhindre automatisk forhåndsvisning af filer, der er markeret som usikre.
Microsofts sikkerhedsopdatering forklaret
I oktober 2025 udgav Microsoft en sikkerhedsopdatering, der blokerer forhåndsvisningsruden i Stifinder for filer med mærkningen Mark of the Web (MotW). Filer, der downloades fra internettet, får automatisk dette mærke, som advarer Windows om, at de muligvis er upålidelige.
Tidligere genererede Stifinder miniaturebilleder eller forhåndsvisninger af indhold, når en bruger markerede en fil. I visse tilfælde udløste dette eksterne forbindelser, som kunne afsløre NTLM-legitimationsoplysninger. Cyberkriminelle kunne udnytte denne adfærd ved at indsætte ondsindet HTML eller eksterne billedreferencer i et dokument.
Med den nye opdatering vises disse forhåndsvisninger ikke længere automatisk for internetfiler, hvilket lukker et potentielt sikkerhedshul for NTLM-tyveriangreb.
Sådan fungerer NTLM-tyveriangreb
NTLM-angreb bygger på at narre systemet til at sende godkendelseshashes til en ekstern server. Disse kan derefter knækkes eller genbruges til at opnå uautoriseret adgang til netværk. Ved blot at forhåndsvise en kompromitteret fil kunne brugeren ubevidst sende følsomme oplysninger til angribere.
Denne angrebsmetode er blevet mere almindelig, især gennem phishing-kampagner og delte virksomhedsdrev. Ved at deaktivere forhåndsvisninger for MotW-mærkede filer forhindrer Windows eksterne forbindelser, der kan afsløre legitimationsdata.
Sådan håndterer brugere betroede filer
Selvom denne nye beskyttelse aktiveres automatisk, giver Microsoft brugerne mulighed for at genaktivere forhåndsvisning for filer, de har tillid til. Dette kan gøres ved at fjerne blokeringen af filen i dens egenskaber eller ved at tilføje filens placering til Trusted Sites eller Local Intranet-zonen i Internetindstillinger.
Denne fleksibilitet skaber en balance mellem brugervenlighed og sikkerhed, så brugerne bevarer kontrollen uden at udsætte sig for NTLM-tyveriangreb igen.
Styrket sikkerhed i virksomheder
For virksomheder reducerer denne ændring risikoen for lækkede legitimationsoplysninger ved utilsigtede filforhåndsvisninger. Systemadministratorer bør sikre, at de nyeste opdateringer til Windows 11 og Windows Server er installeret på alle enheder. De bør desuden uddanne medarbejdere i sikker filhåndtering og i vigtigheden af ikke at omgå indbyggede sikkerhedsforanstaltninger.
Ved at rette en subtil, men alvorlig svaghed i Windows’ filhåndtering tilføjer Microsoft et ekstra sikkerhedslag mod NTLM-tyveriangreb.
Konklusion
Microsofts beslutning om at deaktivere forhåndsvisningsruden i Stifinder for internetfiler er direkte rettet mod NTLM-tyveriangreb. Dette proaktive skridt fjerner en skjult sårbarhed, der tidligere kunne afsløre brugeroplysninger ved en simpel filforhåndsvisning.
Opdateringen markerer et vigtigt skridt mod stærkere Windows-sikkerhed og understreger behovet for fortsat opmærksomhed på beskyttelse af legitimationsoplysninger.
0 svar til “Microsoft blokerer NTLM-tyveriangreb med ændring i forhåndsvisningsruden”