Windows文件管理器中發(fā)現(xiàn)了一個(gè)名為CVE-2025-24071的關(guān)鍵漏洞，攻擊者只需解壓壓縮文件即可竊取用戶的NTLM哈希密碼，無需用戶進(jìn)行任何交互。安全研究人員已發(fā)布了該高危漏洞的概念驗(yàn)證（PoC）利用程序，微軟已在2025年3月的更新中修復(fù)了該漏洞。

Windows文件管理器漏洞分析

該漏洞被稱為“通過RAR/ZIP解壓縮導(dǎo)致的NTLM哈希泄露”，利用了Windows文件管理器的自動(dòng)文件處理機(jī)制。當(dāng)用戶從壓縮包中提取一個(gè)包含惡意SMB路徑的.library-ms文件時(shí)，Windows文件管理器會(huì)自動(dòng)解析其內(nèi)容以生成預(yù)覽和索引元數(shù)據(jù)。

即使用戶從未顯式打開提取的文件，這種自動(dòng)處理也會(huì)發(fā)生。安全研究員“0x6rss”表示，.library-ms文件格式是基于XML的，Windows文件管理器信任該文件格式以定義庫(kù)位置，其中包含一個(gè)指向攻擊者控制的SMB服務(wù)器的標(biāo)簽。

在提取文件后，Windows文件管理器會(huì)嘗試自動(dòng)解析嵌入的SMB路徑（例如，\192.168.1.116\shared）以收集元數(shù)據(jù)。此操作會(huì)觸發(fā)受害者系統(tǒng)與攻擊者服務(wù)器之間的NTLM認(rèn)證握手，從而在沒有用戶交互的情況下泄露受害者的NTLMv2哈希。

漏洞利用過程

研究人員通過進(jìn)程監(jiān)控工具觀察到，在提取文件后，Explorer.exe和SearchProtocolHost.exe（Windows索引服務(wù)的一部分）會(huì)立即對(duì).library-ms文件執(zhí)行以下操作：

• CreateFile：自動(dòng)打開文件
• ReadFile：讀取文件內(nèi)容
• QueryBasicInformationFile：提取元數(shù)據(jù)
• CloseFile：處理完畢后關(guān)閉文件

Wireshark抓包數(shù)據(jù)證實(shí)，這些操作會(huì)立即觸發(fā)SMB通信嘗試，包括NTLM認(rèn)證握手。

PoC利用與威脅情報(bào)

該漏洞可能導(dǎo)致敏感信息暴露給未經(jīng)授權(quán)的攻擊者，從而引發(fā)網(wǎng)絡(luò)欺騙攻擊。2025年3月16日，安全研究員“0x6rss”在GitHub上發(fā)布了一個(gè)概念驗(yàn)證利用程序。該P(yáng)oC包含一個(gè)生成惡意.library-ms文件的Python腳本，可通過簡(jiǎn)單的命令運(yùn)行：python poc.py。

有證據(jù)表明，此漏洞可能在公開披露之前已被出售和利用。一個(gè)名為“Krypt0n”的威脅行為者據(jù)稱是惡意軟件“EncryptHub Stealer”的開發(fā)者，其在黑市論壇上出售了該漏洞利用程序。

威脅行為者的帖子

根據(jù)翻譯的論壇帖子，該攻擊者解釋道：“接收哈希的服務(wù)器是在本地創(chuàng)建的，例如在VPS上。然后，通過利用該漏洞，你可以生成一個(gè)包含你的IP、共享路徑等的配置文件?！绻脩糁皇谴蜷_文件管理器或訪問共享文件夾，就會(huì)發(fā)生自動(dòng)重定向，用戶的哈希值將被發(fā)送到你的服務(wù)器?！?/p>

漏洞緩解措施

微軟已于2025年3月11日通過“補(bǔ)丁星期二”更新修復(fù)了該漏洞。強(qiáng)烈建議所有Windows用戶立即應(yīng)用這些安全更新。該漏洞是微軟產(chǎn)品中不斷增加的NTLM相關(guān)漏洞之一，此前研究人員在Microsoft Access、Publisher和其他應(yīng)用程序中也發(fā)現(xiàn)了類似的憑證泄露問題。

安全專家建議用戶保持所有微軟產(chǎn)品的更新，并實(shí)施額外的防護(hù)措施以應(yīng)對(duì)NTLM中繼攻擊，例如啟用SMB簽名并在可能的情況下禁用NTLM。