NTLM-tyveriangrep har fått Microsoft til å deaktivere forhåndsvisningsruten i Filutforsker for filer lastet ned fra internett. Endringen ble innført for å hindre angripere i å stjele brukerinformasjon gjennom ondsinnede filer. Oppdateringen styrker sikkerheten i Windows 11 og Windows Server ved å forhindre automatisk forhåndsvisning av filer som er merket som usikre.
Microsofts sikkerhetsoppdatering forklart
I oktober 2025 lanserte Microsoft en sikkerhetsoppdatering som blokkerer forhåndsvisningsruten i Filutforsker for filer med merkelappen Mark of the Web (MotW). Filer som lastes ned fra internett får automatisk denne merkelappen, som varsler Windows om at de kan være upålitelige.
Tidligere genererte Filutforsker miniatyrbilder eller forhåndsvisninger av innhold når en bruker valgte en fil. I visse tilfeller utløste dette eksterne tilkoblinger som kunne avsløre NTLM-legitimasjon. Cyberkriminelle kunne utnytte denne oppførselen ved å legge inn ondsinnet HTML eller eksterne bildereferanser i dokumenter.
Med den nye oppdateringen vises slike forhåndsvisninger ikke lenger automatisk for internettnedlastede filer, noe som lukker et mulig inngangspunkt for NTLM-tyveriangrep.
Slik fungerer NTLM-tyveriangrep
NTLM-angrep går ut på å lure systemet til å sende autentiseringshasher til en ekstern server. Disse kan deretter knekkes eller brukes på nytt for å få uautorisert tilgang til nettverk. Bare ved å forhåndsvise en kompromittert fil kunne brukeren ubevisst sende sensitiv informasjon til angripere.
Denne angrepsmetoden har blitt stadig vanligere, spesielt gjennom phishing-kampanjer og delte bedriftsmapper. Ved å deaktivere forhåndsvisninger for MotW-merkede filer forhindrer Windows eksterne tilkoblinger som kan avsløre legitimasjon.
Hvordan håndtere betrodde filer
Selv om dette nye sikkerhetstiltaket er automatisk, lar Microsoft brukerne gjenopprette forhåndsvisning for filer de stoler på. Dette kan gjøres ved å oppheve blokkeringen i filens egenskaper eller ved å legge til filens plassering i Trusted Sites– eller Local Intranet-sonen i Internettalternativer.
Denne fleksibiliteten balanserer brukervennlighet og sikkerhet, slik at brukerne beholder kontrollen uten å utsette seg for NTLM-tyveriangrep på nytt.
Styrket sikkerhet i bedrifter
For organisasjoner reduserer denne endringen risikoen for legitimasjonslekkasjer fra utilsiktede filforhåndsvisninger. Systemadministratorer bør sikre at de nyeste oppdateringene for Windows 11 og Windows Server er installert på alle enheter. De bør også trene ansatte i trygg filhåndtering og viktigheten av å ikke omgå innebygde sikkerhetsmekanismer.
Ved å løse en subtil, men betydelig svakhet i Windows’ filhåndtering, legger Microsoft til et ekstra lag av beskyttelse mot NTLM-tyveriangrep.
Konklusjon
Microsofts beslutning om å deaktivere forhåndsvisningsruten i Filutforsker for internettnedlastede filer retter seg direkte mot NTLM-tyveriangrep. Dette proaktive tiltaket eliminerer en skjult sårbarhet som tidligere kunne avsløre brukerinformasjon ved en enkel filforhåndsvisning.
Oppdateringen markerer et viktig skritt mot sterkere Windows-sikkerhet og understreker behovet for kontinuerlig bevissthet rundt beskyttelse av påloggingsinformasjon.
0 responses to “Microsoft stanser NTLM-tyveriangrep med endring i forhåndsvisningsruten”