研究人员发现 Google Chrome 浏览器中存在的一个漏洞，允许攻击者通过欺骗用户在 Windows PC 端下载恶意文件或 SCF 文件，从而窃取用户登录凭证并启动 SMB（服务器消息块）中继攻击。

此次攻击活动极其简单，受害者在点击恶意链接时，将自动下载 Windows Explorer Shell 或 SCF 文件，而 SCF 文件被触发后会向攻击者发送 SMB 服务器身份验证请求，从而泄露受害者的用户名与哈希密码。

调查显示，攻击者仅需诱导受害者在 Windows 环境下使用 Chrome 浏览器访问其恶意网站，即可窃取并使用受害者的身份凭证，即便受害者并无管理员权限。此外，研究人员表示， 该漏洞将影响所有 Windows 版本下的 Chrome 浏览器，甚至包括 Windows 10 系统。

Chrome 的这一漏洞目前 尚未被修复 。安全专家提醒用户可通过禁用浏览器自动下载功能来防范风险，同时将 SMB 服务限制在专用网络内，并配置好基于 Internet SMB 服务器连接的防火墙端口。

据英国路透社5月18日报道，美国国会17日提出一项新议案，根据这项议案， 国家安全局需要将自己所发现的软件安全漏洞告知其它的政府机构代表 ，比如能够导致上周“勒索软件”攻击这样的安全漏洞。

未来，如果一个政府机关在计算机产品中发现了安全漏洞，但出于想利用这个漏洞监视对手的原因而不愿提醒制造商，那么按照国会新议案的规定，政府将对此进行审查。新议案还要求这种审查过程将由以防守为主导的 美国国土安全部 主持，而不再是让以进攻为主导的美国国家安全局主持。据报道，美国国家安全局将90%的预算用于提高进攻能力和进行间谍活动方面。

技术公司一直批评隐瞒软件漏洞以便让政府情报机构利用这些漏洞进行攻击的行为。上周黑客已利用微软 Windows 软件漏洞攻击了150多个国家的20万台电脑。这个漏洞是由美国国家安全局发现的，后来被泄露到网上。“勒索软件”袭击发生后，微软总裁严厉批评了政府对安全漏洞的隐瞒行为。他在一篇博客中写道，“政府手中的安全漏洞屡次泄露到公共领域，造成大范围损害。”