NTLM-stöldattacker har fått Microsoft att inaktivera förhandsgranskningsfönstret i Utforskaren för internetnedladdade filer. Företaget införde denna förändring för att stoppa angripare från att stjäla användaruppgifter via skadliga filer. Uppdateringen stärker säkerheten för Windows 11 och Windows Server genom att förhindra automatiska förhandsvisningar av filer som markerats som osäkra.
Microsofts säkerhetsuppdatering förklarad
I oktober 2025 släppte Microsoft en säkerhetsuppdatering som blockerar förhandsgranskningsfönstret i Utforskaren för filer som bär märkningen Mark of the Web (MotW). Filer som laddas ned från internet får automatiskt denna tagg, vilket varnar Windows för att de kan vara opålitliga.
Tidigare genererade Utforskaren en miniatyrbild eller innehållsförhandsvisning när en användare markerade en fil. I vissa fall skapade detta externa anslutningar som exponerade användarens NTLM-uppgifter. Cyberbrottslingar kunde utnyttja detta beteende genom att bädda in skadlig HTML-kod eller externa bildreferenser i ett dokument.
Med den nya uppdateringen visas dessa förhandsvisningar inte längre automatiskt för internetfiler, vilket stänger en potentiell väg för NTLM-stöldattacker.
Så fungerar NTLM-stöldattacker
NTLM-attacker bygger på att lura ett system att skicka autentiseringshashar till en extern server. Dessa kan sedan knäckas eller återanvändas för att få obehörig åtkomst till nätverk. Genom att bara förhandsgranska en infekterad fil kunde användaren omedvetet skicka känsliga uppgifter till angripare.
Denna attackmetod har blivit allt vanligare, särskilt genom nätfiske och delade företagsmappar. Genom att stänga av förhandsvisningar för MotW-märkta filer förhindrar Windows att externa anslutningar upprättas som kan avslöja inloggningsuppgifter.
Hantering av betrodda filer
Även om skyddet nu aktiveras automatiskt ger Microsoft användare möjlighet att återställa förhandsgranskningen för filer de litar på. Detta kan göras genom att avblockera filen i dess egenskaper eller genom att lägga till filens plats i Trusted Sites eller Local Intranet-zonen i Internetalternativ.
Denna flexibilitet balanserar bekvämlighet och säkerhet, så att användarna behåller kontrollen utan att åter utsätta sig för NTLM-stöldattacker.
Förstärkt skydd i företag
För organisationer minskar denna förändring risken för läckta autentiseringsuppgifter vid oavsiktliga filförhandsvisningar. Systemadministratörer bör säkerställa att de senaste uppdateringarna för Windows 11 och Windows Server är installerade på alla enheter. De bör också utbilda anställda i säkra filrutiner och vikten av att inte kringgå inbyggda skydd.
Genom att åtgärda en subtil men allvarlig svaghet i hur Windows hanterar filer lägger Microsoft till ytterligare ett skyddslager mot NTLM-stöldattacker.
Slutsats
Microsofts beslut att inaktivera förhandsgranskningsfönstret i Utforskaren för internetfiler riktar sig direkt mot NTLM-stöldattacker. Detta proaktiva steg eliminerar en dold sårbarhet som tidigare kunde exponera användaruppgifter genom en enkel filförhandsvisning.
Uppdateringen markerar ett viktigt steg mot starkare Windows-säkerhet och understryker behovet av fortsatt medvetenhet kring skydd av inloggningsuppgifter.
0 svar till ”Microsoft stoppar NTLM-stöldattacker med ändring i förhandsgranskningsfönstret”