Microsoft блокирует предпросмотр файлов в Windows Explorer из-за утечек NTLM-хешей

По данным Microsoft, обновление безопасности, выпущенное 14 октября 2025 года, вводит изменения в поведение Windows Explorer. Для пользователей, установивших пакет обновлений, предпросмотр файлов, загруженных из интернета, автоматически отключён. Это мера направлена на предотвращение утечки NTLM-хешей — критичных данных для аутентификации в сетях Windows.

Механизм защиты

Mark of the Web — метаданные, добавляемые к файлам из интернета, сигнализируют Windows Defender о потенциальной угрозе. Если пользователь пытается сразу открыть загруженный файл, система выводит предупреждение:
«Файл, который вы пытаетесь просмотреть, может навредить вашему компьютеру. Если вы доверяете файлу и источнику, откройте его для просмотра содержимого».

Техническая причина блокировки — уязвимость, возникающая при предпросмотре файлов с HTML-тегами, ссылающимися на внешние ресурсы.

Пользовательский контроль

Для отключения этой функции после установки обновления требуется:

1. Щелкнуть файл правой кнопкой мыши.
2. Открыть раздел «Свойства».
3. Нажать «Разблокировать».

Важно: изменение применяется только к конкретному файлу и может потребовать повторного входа в систему.

Риски и практика

NTLM-хеши — ключевые элементы аутентификации в сетях Windows. Их утечка позволяет злоумышленникам подделывать запросы от имени пользователя. Хотя Microsoft не раскрывает масштабы угрозы, обновление демонстрирует усиление фокуса на защите от файловых атак через веб-интерфейсы.

Ключевой вызов: Как сбалансировать автоматическую защиту от уязвимостей и оперативность работы с файлами в условиях роста атак, использующих HTML-векторы?

Microsoft усиливает защиту Windows Explorer: баланс безопасности и продуктивности

Новые правила игры для пользователей

Обновление Windows Explorer, вводящее автоматическое отключение предпросмотра файлов из интернета, меняет привычный рабочий процесс.

Ключевой инсайт: Microsoft переносит баланс ответственности с пользователя на систему. Ранее пользователь сам решал, доверять ли файлу, а теперь система «отказывается» работать с непроверенными данными. Это снижает риск утечки NTLM-хешей, но требует адаптации в бизнес-процессах.

Например, в компаниях, где сотрудники часто работают с внешними документами, это может увеличить время на обработку файлов. Для российских организаций, где ИТ-инфраструктура часто не предусматривает автоматизированные процессы проверки, это станет вызовом: ИТ-отделы будут получать больше запросов на ручную разблокировку файлов, что повысит нагрузку.

Скрытые последствия для бизнеса

Механизм Mark of the Web создает цепочку эффектов, которые неочевидны на первый взгляд. Например:

• Внутренние веб-приложения: Если организация использует интранет-порталы с HTML-файлами, система может ошибочно считать их «небезопасными», даже если они размещены на доверенных доменах. Это потребует пересмотра политик безопасности или дополнительных настроек.
• Малый бизнес: Компании без штатных ИТ-специалистов столкнутся с трудностями: ручная разблокировка файлов замедлит работу, а обучение сотрудников новым процедурам займет время. В России, где доля малых предприятий высока, это может привести к снижению операционной эффективности.
• Автоматизация: Роботизированные процессы, например, обработка загруженных отчетов или интеграция с внешними системами, теперь требуют дополнительной настройки. Это особенно актуально для банков и логистических компаний, где скорость обработки данных критична.

i

Сгенерировано для ASECTOR

Концептуальное изображение

Стратегия Microsoft: безопасность как бизнес-модель

Обновление демонстрирует долгосрочную стратегию Microsoft — повышать барьеры для атак, даже если это временно снижает удобство. Парадокс: усиление безопасности может спровоцировать рост доверия к продуктам Microsoft, но одновременно увеличит зависимость пользователей от их экосистемы. Например, компании, перешедшие на Windows, теперь вынуждены использовать только «дружественные» инструменты, чтобы избежать ограничений.

Повышение требований к безопасности неизбежно увеличивает стоимость ИТ-поддержки. Компании, которые не внедрят автоматизированные процессы проверки файлов, столкнутся с ростом операционных расходов.

Важный нюанс: Microsoft использует обновление как инструмент для продвижения своих облачных решений. Например, файлы, хранящиеся в OneDrive, могут обрабатываться с меньшими ограничениями, что создает преимущества для пользователей экосистемы Azure.

Контекст современных угроз

Обновление Windows Explorer приобретает особую актуальность на фоне роста автоматизированных кибератак. По данным аналитики [!], злоумышленники активно используют ИИ и автоматизированные инструменты для быстрого выполнения атак, включая кражу учетных данных и эксплуатацию уязвимостей в цепочках поставок. В этом контексте защита NTLM-хешей становится критичной, так как их утечка позволяет атакующим подделывать запросы от имени пользователей. Особенно это важно для корпоративных систем, где атакующие часто используют легитимные инструменты Microsoft 365 и Azure для получения начального доступа. Таким образом, обновление Windows Explorer выступает как часть комплексной стратегии Microsoft по укреплению безопасности в условиях растущих угроз.

• Цепочка атак: В Microsoft 365 захваченные почтовые аккаунты становятся точкой входа для доступа к корпоративным данным. Предотвращение утечки NTLM-хешей через предпросмотр файлов снижает риски такого сценария.
• Реакция на автоматизацию: Ускорение атак требует более строгих мер, таких как автоматическое отключение рискованных функций. Это снижает время, которое злоумышленникам нужно для эксплуатации уязвимостей.
• Интеграция с экосистемой: Защита, встроенная в Windows, дополняется мерами в облачных сервисах Microsoft. Например, OneDrive и Azure Active Directory могут автоматически проверять файлы, уменьшая нагрузку на локальные системы.

Важный нюанс: Для организаций, использующих смешанные инфраструктуры, важно синхронизировать политики безопасности между локальными и облачными решениями, чтобы избежать пробелов в защите.