已发现一个安全漏洞,编号为 CVE-2025-24071,该漏洞允许在从 RAR/ZIP 存档中提取特制文件时泄露 NTLM 哈希值。此漏洞由安全研究员 0x6rss报告,CVSS 评分为 7.5。
该漏洞存在于 Windows 资源管理器处理存档中的“.library-ms”文件的方式中。“当包含 SMB 路径的特制 .library-ms 文件在 RAR/ZIP 存档中压缩并随后解压时,Windows 资源管理器会根据其内置的索引和预览机制自动解析此文件的内容。” 发生这种情况的原因是,Windows 资源管理器会在解压时自动处理某些文件类型以生成预览、缩略图或索引元数据,即使没有明确的用户交互也是如此。
基于 XML 的“.library-ms”文件格式受 Windows 资源管理器信任,可用于定义搜索和库位置。提取后,Windows 资源管理器的内置文件解析机制和索引服务将分析文件内容。
攻击者可以制作一个 .library-ms 文件,其中的<simpleLocation> 标签指向攻击者控制的 SMB 服务器。“提取后,Windows 资源管理器会尝试自动解析此 SMB 路径 (192.168.1.116shared) 以收集元数据和索引文件信息。”此操作会触发从受害者系统到攻击者控制的 SMB 服务器的隐式 NTLM 身份验证握手,从而导致受害者的 NTLMv2 哈希在没有明确用户交互的情况下被发送。
研究人员使用 Procmon 观察到 Explorer.exe 和 SearchProtocolHost.exe 等索引服务在提取 .library-ms 文件后立即自动执行 CreateFile、ReadFile、QueryBasicInformationFile 和 CloseFile 等操作。SearchProtocolHost.exe 作为 Windows 文件索引服务的一部分被调用,进一步证明了提取后文件的自动处理。
Wireshark 捕获结果显示,提取恶意 .library-ms 文件会触发 SMB 通信尝试。捕获结果显示 SMB2 协商协议请求和 SMB2 会话设置请求 (NTLMSSP_AUTH),“清楚地显示了 NTLM 身份验证握手的启动”,证明 Windows 在提取文件时会自动尝试与 SMB 服务器进行身份验证。
“该漏洞正在被广泛利用。” 名为“Krypton”的威胁行为者可能在 xss.is 论坛上出售该漏洞,他也是“EncryptHub Stealer”恶意软件的开发者。CVE-2025-24071漏洞的概念验证 (PoC)可在GitHub上获取,此漏洞的 Metasploit 模块也已可用。该漏洞已于本月的 Microsoft Patch Tuesday 中得到解决。
原文始发于微信公众号(独眼情报):【poc】Windows 资源管理器 CVE-2025-24071 漏洞暴露 NTLM 哈希
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论