資訊安全新聞

SCF 檔案如何偷走你的 NTLM Hash？關鍵漏洞與應對策略

SCF 檔案與 NTLM 認證簡介

Shell Command Files (SCF) 是 Windows 作業系統中的一種特定檔案格式，主要由 Windows 檔案總管用來執行一組預定義的 shell 指令 ^{1, 2, 3} 。這些檔案跟 LNK 檔案有點像，都是當作捷徑來用，但 SCF 檔案的設計是支援 Windows 檔案總管中比較有限的功能，例如設定桌面元素（像是「我的電腦」或「資源回收筒」）的圖示 ¹ 。過去，LNK 檔案也曾經被不肖人士拿來搞亂，攻擊者可以操控 LNK 檔案從外部、由他們控制的伺服器載入圖示，造成安全漏洞。不過，微軟後來更新了這個問題，限制 LNK 檔案只能從本機資源載入圖示 ¹ 。但有趣的是，SCF 檔案並沒有受到同樣的關注或更新，留下了被攻擊的可能 ¹ 。從 LNK 檔案漏洞的歷史來看，攻擊者老是喜歡針對作業系統裡看起來沒啥大不了的功能下手，特別是用來偷取認證資料。修好 LNK 檔案的漏洞後，壞蛋們可能就把目光轉向其他類似的功能，像 SCF 檔案這種沒被關注過的東西。這提醒我們，作業系統的每個角落都需要徹底的安全檢查，哪怕是那些功能看起來很小的部分。

SCF 檔案如何偷走你的 NTLM Hash？關鍵漏洞與應對策略 | 資訊安全新聞

NTLM (NT LAN Manager) 是一種挑戰回應式的認證協定(Challenge-response authentication protocol)，在 Windows 環境中被廣泛用來驗證使用者存取網路資源的身份 ^{4, 5, 6, 7, 8, 9} 。認證過程分成三個階段，客戶端跟伺服器之間會交換訊息 ⁵ 。首先，客戶端會把使用者的帳號（明文）跟密碼的加密雜湊值傳出去 ⁵ 。接著，伺服器回傳一個 16 位元組的隨機挑戰碼 ⁵ 。最後，客戶端用之前傳過的密碼雜湊值加密這個挑戰碼，再把加密後的回應送回伺服器 ⁵ 。伺服器（或指定的網域控制器）會拿收到的加密挑戰碼跟自己用儲存的密碼雜湊值算出來的結果比對，來確認客戶端的真偽 ⁵ 。雖然 NTLM 用得很普遍，但它有幾個天生的安全弱點。它的密碼雜湊機制沒加「鹽」（salt），很容易被暴力破解，尤其是弱密碼(Weak password) 或常用密碼 ⁵ 。再來，NTLM 用的是過時的加密方法，沒能跟上現代安全的進步 ⁵ 。作為單一因素認證協定(Single-factor authentication protocol)，它不支援多因素認證 (MFA)，少了一層保護 ⁵ 。更麻煩的是，NTLM 容易被中繼攻擊（relay attack）搞亂，因為它沒有雙向認證，客戶端跟伺服器彼此都不會驗證對方的身份 ^{6, 10, 11, 12} 。雖然有更安全的認證協定像 Kerberos，NTLM 還是因為要相容舊系統跟應用程式，在很多地方繼續被使用 ^{5, 10, 13} 。這種對 NTLM 的依賴，明明漏洞一堆還是丟不掉，讓壞蛋有機可趁。很多組織因為 IT 架構複雜又要支援老舊系統，想完全淘汰 NTLM 真的很頭痛，這也讓它成了長期安全隱憂。

SCF 檔案的功能跟 NTLM 認證過程撞在一起，就搞出了一個大安全漏洞。SCF 檔案可以用 Universal Naming Convention (UNC) 路徑來指向遠端網路資源 ^{1, 14, 15} 。當 Windows 檔案總管試著顯示一個指向遠端 Server Message Block (SMB) 伺服器的 SCF 檔案圖示時，它會自動跟那個遠端伺服器啟動 NTLM 認證握手(Handshake) ^{1, 3} 。這個認證動作不需要使用者特別做什麼，只要看一眼包含惡意 SCF 檔案的資料夾就夠了 ^{2, 3, 4, 6, 13} 。這種自動行為，作業系統默默相信並處理 SCF 檔案，試著去抓遠端資源並認證，就是漏洞的根源。這暴露了作業系統內建功能的一個風險，只要一點點使用者互動，壞蛋就能拿來搞亂。

2. SCF 檔案 NTLM Hash 洩漏漏洞的技術解說

SCF 檔案 NTLM hash 洩漏漏洞可以透過好幾種攻擊方式觸發，這些方式都利用了 Windows 檔案總管自動處理 SCF 檔案的特性。一個常見的情況是把特製的 SCF 檔案丟到共用網路資料夾或 USB 隨身碟裡 ^{2, 6, 8, 13, 14, 16, 17} 。當使用者用檔案總管進到這個地方，系統會自動試著顯示檔案的圖示。如果這個 SCF 檔案被設計成指向攻擊者控制的遠端伺服器，這動作就會觸發自動的 NTLM 認證，把使用者的 NTLM hash 送到攻擊者的伺服器 ^{2, 6, 8, 13, 14, 16, 17} 。另一個攻擊管道是透過網頁傳送惡意 SCF 檔案 ^{1, 3, 16} 。攻擊者可以把檔案放在網站上，可能會自動下載到目標系統，例如透過「路過式下載」（drive-by download）或社交工程伎倆 ^{1, 3, 16} 。之後，如果使用者在檔案總管裡打開下載資料夾，系統又會試著顯示 SCF 檔案的圖示，啟動惡意的 NTLM 認證流程 ^{1, 3, 16} 。釣魚攻擊也能拿來利用這個漏洞，把 SCF 檔案當成郵件附件，或放個連結讓人點下去載檔案 ¹⁸ 。一旦使用者打開附件或進到下載檔案的資料夾，漏洞就啟動了 ¹⁸ 。

這個漏洞的技術機制是 SCF 檔案裡有個特定指令，要從遠端的 UNC 路徑抓圖示檔案 ^{14, 15, 18} 。一個典型的例子可能是 \\attacker_ip\share\icon.ico ^{14, 15, 18} 。當檔案總管試著顯示 SCF 檔案或它所在資料夾的內容時，遇到這個路徑，就會啟動跟指定 IP 位址的 SMB 連線 ^{1, 3} 。為了建立這個 SMB 連線，受害者的機器會自動用 NTLM 協定試著認證到遠端伺服器，過程中會把登入使用者的帳號跟對應的 NTLM hash 送到攻擊者控制的伺服器 ^{1, 3} 。攻擊者的伺服器則被設定好來抓取這些認證資訊 ^{1, 8, 15} 。這個攻擊的效果靠的是作業系統預設會自動抓取 File metadata （像圖示），還有存取網路資源時自動啟動 NTLM 認證。這種設計本來是為了方便使用者跟網路整合，但卻被攻擊者拿來騙受害者的機器洩漏敏感認證資料。

要完全搞懂這個漏洞，可以把正常的 NTLM 認證流程跟 SCF 漏洞被利用時的流程比一比。正常的 NTLM 認證流程之前提過，使用者想存取網路資源時，會有協商、挑戰跟認證的交換 ^{5, 9} 。但在 SCF 漏洞的情境下，流程有點不一樣。使用者的互動只限於瀏覽包含惡意 SCF 檔案的地方。檔案總管試著顯示資料夾內容，包括 SCF 檔案的圖示。這個惡意 SCF 檔案裡有指向遠端 UNC 路徑的圖示指標，觸發 Windows 跟指定 UNC 路徑的攻擊者伺服器建立 SMB 連線。攻擊者的伺服器回應這個連線要求時，會要求認證。於是，受害者的機器自動送出 NTLM 協商訊息，表明它支援的認證能力 ⁹ 。攻擊者伺服器接著發出 NTLM 挑戰訊息 ⁹ 。受害者的機器回應時，會送出包含伺服器挑戰碼（用使用者 NTLM hash 加密）的 NTLM 認證訊息 ⁹ 。關鍵差別在於，正常認證場景中，伺服器會繼續驗證收到的雜湊值跟合法使用者認證資料庫比對。但在 SCF 攻擊場景裡，攻擊者伺服器的主要目的是抓取 NTLM 認證訊息，裡面有受害者的帳號跟 NTLM hash，之後拿來破解密碼或中繼(Relaying)到其他系統 ^{1, 8} 。漏洞的核心在於，檔案總管會根據 SCF 檔案的內容自動觸發整個 NTLM 認證流程，使用者只要看一眼檔案位置，不需要特別同意或互動。這點讓漏洞特別陰險，因為使用者可能根本不知道自己的認證資料被傳到惡意遠端伺服器。

3. 不同系統的潛在技術影響與嚴重性

SCF 檔案 NTLM hash 洩漏漏洞的主要技術影響是受害者的 NTLM hash 可能被偷走 ^{2, 4, 6, 7, 13, 19, 20, 21} 。攻擊者拿到這個雜湊後，可以用離線暴力破解的方式試著還原原本的明文密碼 ^{1, 8, 19} 。破解雜湊需要的時間很大程度取決於使用者密碼的複雜度和強度 ³ 。弱密碼或常用密碼特別容易在短時間內被破解。

除了直接破解密碼，偷來的 NTLM hash 還能被用在同一網路內接受 NTLM 認證的其他系統上，進行 NTLM 中繼攻擊 ^{4, 6, 8, 9, 10, 11, 12, 13, 19, 22} 。在中繼攻擊中，攻擊者攔截 NTLM 認證嘗試，把抓到的認證資料轉發到另一個伺服器。這讓攻擊者可能以被盜用的使用者身份認證到其他服務或資源，獲得未經授權的存取權 ^{4, 6, 7, 10, 11, 19} 。常見的攻擊目標包括共用檔案系統（SMB shares）、郵件伺服器（像 Exchange Server）、Active Directory 憑證服務 (AD CS)，還有輕量型目錄存取協定 (LDAP) 伺服器 ^{4, 6, 7, 8} 。成功的 NTLM 中繼攻擊可能帶來嚴重後果，例如權限提升（攻擊者獲得比被盜用者更高的存取權）、橫向移動（攻擊者擴散到網路內其他系統），以及資料外洩（敏感資訊被偷走） ^{4, 7, 10, 11} 。

這個漏洞的嚴重性會因系統跟環境不同而有所差異。因為它依賴 Windows 檔案總管跟 NTLM 協定的核心功能，影響範圍涵蓋很多 Windows 版本 ^{6, 17, 19, 23} 。經常瀏覽網路共用資料夾或常插拔 USB 隨身碟的系統，被攻擊的風險比較高 ^{2, 6, 8, 13, 14, 16, 17} 。如果被盜用認證的使用者在系統或網路中有高權限，影響會更大。攻擊者透過這個漏洞控制了管理員帳號，可能就能廣泛存取關鍵系統跟敏感資料 ^{7, 10, 11, 24} 。Windows 作業系統的普及，加上許多環境還在用 NTLM 認證，讓這個漏洞的潛在影響很大。不只偷認證，還能用來在網路內橫向移動跟提升權限，對整體網路安全來說是個大威脅。就算使用者密碼很強很難破解，NTLM hash 還是能被中繼到其他服務，讓攻擊者繞過傳統密碼保護，直接以被盜用者的身份存取。

4. 技術緩解策略與防禦措施

有幾個技術緩解策略跟防禦措施可以降低 SCF 檔案 NTLM hash 洩漏漏洞的風險。長期的根本解決方案是放棄不太安全的 NTLM 認證協定，強制使用更強大的協定，像 Kerberos ^{4, 5, 7, 19, 24, 25} 。這種轉換通常可以透過 Windows 網域的群組原則設定來管理 ^{7, 19, 25} 。不過得承認，完全停用 NTLM 對某些組織來說可能沒那麼簡單，因為老舊的系統跟應用程式可能只支援 NTLM，相容性會出問題 ^{5, 10, 13} 。

在過渡期間，或是沒辦法完全停用 NTLM 的環境裡，強制啟用 Server Message Block (SMB) 簽章是個關鍵緩解步驟 ^{4, 5, 7, 11, 22} 。SMB 簽章會在 SMB 通訊封包裡加數位簽章，防止攻擊者攔截跟中繼 NTLM 認證嘗試。這個設定也可以透過群組原則來搞定。同樣的，在還得靠 NTLM 的伺服器跟服務上啟用 Extended Protection for Authentication (EPA)，能大大提升對抗中繼攻擊的安全性 ^{5, 6, 11, 22} 。EPA 把 NTLM 認證綁到下層的傳輸層安全性 (TLS) 連線，讓攻擊者更難攔截跟重複使用認證資料。

網路層面的控制也很有效。在網路邊界限制外流的 SMB 流量，封鎖 139/tcp、139/udp、445/tcp、445/udp 這些通訊埠，就能減少惡意 SCF 檔案連到外部伺服器時，攻擊者抓取 NTLM hash 的機會 ^{8, 20, 26} 。停用跟 Web Distributed Authoring and Versioning (WebDAV) 相關的 WebClient 服務，也能防堵某些 NTLM 中繼攻擊管道 ^{8, 26} 。

除了技術設定，使用者教育跟警覺也很重要。訓練使用者在瀏覽共用網路資料夾或插上不信任來源的 USB 隨身碟時要小心，對怪怪的或可疑的檔案提高警覺，能大大降低被攻擊的機率 ^{24, 27, 28} 。保持強大的更新管理流程也很關鍵。確保所有作業系統跟軟體都裝上最新的安全更新，能解決很多潛在漏洞，包括跟 NTLM 或檔案處理有關的問題 ^{4, 5, 21, 23, 24, 28} 。雖然這個 SCF 漏洞不一定有特定更新，但主動更新策略能關上已知的安全缺口。實行網路分段也能限制成功 NTLM 中繼攻擊的潛在損害，減少攻擊者在網路不同部分橫向移動的能力 ^{23, 24, 27, 28} 。

最後，持續的安全監控跟偵測很重要。部署工具來監控異常認證模式跟可能的 NTLM 中繼攻擊，能幫忙及早發現跟應對 ^{5, 11, 24, 27} 。安全團隊應該特別注意跟 NTLM 認證相關的事件日誌，例如事件 ID 4624、登入類型 3、認證套件列為 NTLM，這些可能是可疑活動的指標 ²⁴ 。過去，像 LNK 檔案這種類似漏洞，微軟有提供選用更新，改特定登錄機碼來停用從遠端 UNC 路徑自動顯示圖示 ^{2, 26} 。雖然 SCF 漏洞目前可能沒類似的特定緩解，了解這些歷史經驗能幫忙制定未來的防禦策略。全面的安全姿態需要多層次的方法，結合技術控制（像能停用 NTLM 就停用、強制 SMB 簽章跟 EPA、認真更新系統）跟組織措施（像使用者教育跟強大的監控能力）。單一措施無法完全保護，但這些策略好好搭配起來，能顯著降低被成功攻擊的風險。

5. NTLM 相關漏洞在軟體安全的普遍性與重要性分析

SCF 檔案 NTLM hash 洩漏漏洞不是單獨事件，而是跟 NTLM 認證協定相關的安全問題一再出現的模式之一 ^{6, 7, 13, 21, 27} 。隨著時間過去，許多漏洞被發現，都是利用 NTLM 本身的弱點或它在各種軟體應用中的實作問題 ^{6, 7, 13, 21, 27} 。例如 Windows 主題、Microsoft Outlook 等應用程式裡的漏洞，都被攻擊者拿來洩漏使用者的 NTLM hash ^{7, 19} 。不斷冒出跟 NTLM 相關的新漏洞，凸顯繼續用這個老舊認證協定的固有風險 ^{6, 13} 。

攻擊者一直很愛用 NTLM 中繼攻擊來在被入侵的網路裡橫向移動跟提升權限 ^{6, 7, 9, 22} 。有現成的工具跟清楚的文件教怎麼搞 NTLM 中繼攻擊，就算技術不怎麼厲害的攻擊者也能上手 ^{10, 22} 。這種容易被利用的特點，讓 NTLM 相關漏洞的威脅一直存在。

SCF 漏洞跟其他類似問題，點出了軟體安全的一些重要考量。它強調安全設計原則要盡量減少自動動作，尤其是可能不小心洩漏敏感認證的動作。還凸顯對作業系統所有元件（包括檔案處理機制）做徹底嚴格安全測試的重要性，要在壞蛋利用前找出並解決潛在漏洞。此外，這些一再出現的問題提醒組織要優先採用跟轉向更現代、更安全的認證協定，提供更強的保護，對抗認證竊取跟中繼攻擊。最後，NTLM 漏洞持續存在，顯示平衡相容舊系統跟維持安全環境的挑戰。組織常得在老系統或應用程式需要用不太安全的協定時做困難決定，這種便利性跟安全性之間的拉扯，還是軟體安全領域的大難題。NTLM 相關漏洞的頑強性，顯示 Windows 認證生態系有個基本弱點，一直是攻擊者的目標。這情況凸顯迫切需要廣泛轉向更強大的認證方法，並持續專注於業界的安全軟體開發實務。

6. 結論

SCF 檔案 NTLM hash 洩漏漏洞因為能在使用者幾乎沒互動的情況下暴露認證資料，帶來重大安全風險。攻擊者只要製作指向他們控制的遠端伺服器的惡意 SCF 檔案，就能騙受害者的機器自動啟動 NTLM 認證，傳送使用者的 NTLM hash。這個被偷的雜湊可以用來離線破解密碼，或更嚴重的是用於 NTLM 中繼攻擊，可能讓攻擊者未經授權存取網路內的其他系統跟資源。Windows 的廣泛使用跟對 NTLM 認證的持續依賴，讓這個漏洞在各種環境中都令人擔憂。要降低這個風險，組織應該優先轉向更安全的認證協定，像 Kerberos。過渡期間，實行技術控制，例如強制 SMB 簽章跟 Extended Protection for Authentication、限制外流 SMB 流量、認真套用安全更新，都是關鍵步驟。此外，提升使用者對不信任檔案風險的警覺，還有實行強大的安全監控跟偵測能力，都是全面防禦策略的重要部分。NTLM 相關漏洞一再出現，凸顯持續專注於安全軟體開發實務跟主動採用現代認證機制的重要性，以對抗不斷演變的威脅。

NTLM 認證流程
步驟	客戶端	伺服器	網域控制器（若適用）
協商	傳送帳號（明文）跟密碼雜湊	接收協商訊息	N/A
挑戰	接收挑戰碼（16 位元組隨機碼）	傳送挑戰碼	N/A
認證	用密碼雜湊加密挑戰碼並傳送回應	接收認證訊息	轉發挑戰碼、回應跟帳號
驗證	N/A	N/A	取出使用者密碼，加密挑戰碼，跟客戶端回應比對，傳結果給伺服器

緩解策略
緩解策略	技術實作	潛在挑戰
停用 NTLM 認證	群組原則設定限制 NTLM 使用	與舊系統跟應用程式的相容性問題
強制 SMB 簽章	群組原則設定要求 SMB 簽章	舊系統可能有效能負擔
啟用 EPA	在相關伺服器跟服務上設定	需要應用程式/服務支援
限制外流 SMB 流量	防火牆規則封鎖特定通訊埠	若設定不小心，可能影響正常網路功能
停用 WebDAV	在 Windows 服務中停用 WebClient 服務	可能影響依賴 WebDAV 的應用程式
實行更新管理	建立定期及時的更新流程	確保所有系統一致更新可能很複雜且耗資源
實行網路分段	把網路分成獨立區段	實作跟管理可能很複雜，可能需要基礎架構調整
實行安全監控	部署工具偵測異常認證模式	需要專業知識來設定跟解讀警報
使用者教育與警覺	定期進行安全最佳實務訓練	確保所有使用者理解並遵守安全指引有挑戰
研究登錄機碼緩解	研究並可能實作基於登錄機碼的控制	需徹底測試確保相容性跟效果，可能有副作用