研究人员发现 Google Chrome 浏览器中存在的一个漏洞，允许攻击者通过欺骗用户在 Windows PC 端下载恶意文件或 SCF 文件，从而窃取用户登录凭证并启动 SMB（服务器消息块）中继攻击。

此次攻击活动极其简单，受害者在点击恶意链接时，将自动下载 Windows Explorer Shell 或 SCF 文件，而 SCF 文件被触发后会向攻击者发送 SMB 服务器身份验证请求，从而泄露受害者的用户名与哈希密码。

调查显示，攻击者仅需诱导受害者在 Windows 环境下使用 Chrome 浏览器访问其恶意网站，即可窃取并使用受害者的身份凭证，即便受害者并无管理员权限。此外，研究人员表示， 该漏洞将影响所有 Windows 版本下的 Chrome 浏览器，甚至包括 Windows 10 系统。

Chrome 的这一漏洞目前 尚未被修复 。安全专家提醒用户可通过禁用浏览器自动下载功能来防范风险，同时将 SMB 服务限制在专用网络内，并配置好基于 Internet SMB 服务器连接的防火墙端口。

据英国路透社5月18日报道，美国国会17日提出一项新议案，根据这项议案， 国家安全局需要将自己所发现的软件安全漏洞告知其它的政府机构代表 ，比如能够导致上周“勒索软件”攻击这样的安全漏洞。