【poc】Windows 资源管理器 CVE-2025-24071 漏洞暴露 NTLM 哈希

已发现一个安全漏洞，编号为 CVE-2025-24071，该漏洞允许在从 RAR/ZIP 存档中提取特制文件时泄露 NTLM 哈希值。此漏洞由安全研究员 0x6rss报告，CVSS 评分为 7.5。

该漏洞存在于 Windows 资源管理器处理存档中的“.library-ms”文件的方式中。“当包含 SMB 路径的特制 .library-ms 文件在 RAR/ZIP 存档中压缩并随后解压时，Windows 资源管理器会根据其内置的索引和预览机制自动解析此文件的内容。” 发生这种情况的原因是，Windows 资源管理器会在解压时自动处理某些文件类型以生成预览、缩略图或索引元数据，即使没有明确的用户交互也是如此。

基于 XML 的“.library-ms”文件格式受 Windows 资源管理器信任，可用于定义搜索和库位置。提取后，Windows 资源管理器的内置文件解析机制和索引服务将分析文件内容。

攻击者可以制作一个 .library-ms 文件，其中的<simpleLocation> 标签指向攻击者控制的 SMB 服务器。“提取后，Windows 资源管理器会尝试自动解析此 SMB 路径 (192.168.1.116shared) 以收集元数据和索引文件信息。”此操作会触发从受害者系统到攻击者控制的 SMB 服务器的隐式 NTLM 身份验证握手，从而导致受害者的 NTLMv2 哈希在没有明确用户交互的情况下被发送。

研究人员使用 Procmon 观察到 Explorer.exe 和 SearchProtocolHost.exe 等索引服务在提取 .library-ms 文件后立即自动执行 CreateFile、ReadFile、QueryBasicInformationFile 和 CloseFile 等操作。SearchProtocolHost.exe 作为 Windows 文件索引服务的一部分被调用，进一步证明了提取后文件的自动处理。

Wireshark 捕获结果显示，提取恶意 .library-ms 文件会触发 SMB 通信尝试。捕获结果显示 SMB2 协商协议请求和 SMB2 会话设置请求 (NTLMSSP_AUTH)，“清楚地显示了 NTLM 身份验证握手的启动”，证明 Windows 在提取文件时会自动尝试与 SMB 服务器进行身份验证。

“该漏洞正在被广泛利用。” 名为“Krypton”的威胁行为者可能在 xss.is 论坛上出售该漏洞，他也是“EncryptHub Stealer”恶意软件的开发者。CVE-2025-24071漏洞的概念验证 (PoC)可在GitHub上获取，此漏洞的 Metasploit 模块也已可用。该漏洞已于本月的 Microsoft Patch Tuesday 中得到解决。

原文始发于微信公众号（独眼情报）：【poc】Windows 资源管理器 CVE-2025-24071 漏洞暴露 NTLM 哈希