美国网络安全与基础设施安全局 (CISA) 近日将 Windows NTLM 漏洞 CVE-2025-24054 (CVSS 6.5) 加入其“已知被利用漏洞 (KEV)”清单,证实该漏洞正在野外被积极利用。尽管微软已在 3 月修复此漏洞,但其极低的触发条件和直接泄露 NTLM 凭证哈希的能力,使其构成了严峻的实际威胁,远超其“中危”评分所能完全体现的风险。
技术背景:脆弱的 NTLM 与 Pass-the-Hash
NTLM 是 Windows 遗留的身份验证协议(已被微软弃用,推荐 Kerberos)。其设计缺陷使其易受多种攻击,获取用户的 NTLM 哈希是关键一步。Pass-the-Hash (PtH) 攻击是其中最著名的一种,它利用了 NTLM 认证主要依赖密码哈希而非明文密码进行挑战/响应的原理。攻击者一旦获得用户密码的 NTLM 哈希,通常无需破解密码原文,即可直接使用该哈希在网络内模拟用户身份进行认证,进而实现横向移动和权限提升。
漏洞机制详解 (CVE-2025-24054):.library-ms 文件触发的 NTLM 认证
CVE-2025-24054 是一个 NTLM 哈希泄露型的欺骗漏洞,被认为是 CVE-2024-43451 的变种。
- 触发载体 (
.library-ms文件): .library-ms
文件是 Windows 库 (Libraries) 功能使用的 XML 配置文件,用于聚合不同文件夹的内容视图。这类文件可能包含指向网络资源的引用。 -
攻击者可以构造恶意的 .library-ms文件,在其中嵌入指向攻击者控制的远程 SMB 服务器的 UNC 路径。 - 极低交互触发:
-
用户对该文件的极少交互(单击选中、右键查看等,无需打开)即可触发。 - 更甚者:仅仅下载并使用 Windows 资源管理器解压包含此文件的 ZIP 压缩包,Explorer 在处理该文件时,就会自动尝试通过 SMB 协议连接到恶意服务器,并进行 NTLM 身份验证。
- 哈希泄露:
这个自动的 NTLM 认证过程会将当前登录用户的 NTLM 哈希(具体报告为 NTLMv2-SSP 哈希,代表 NTLMv2 协议与安全支持提供者协商的结果)发送给攻击者的服务器。
在野利用实况与风险升级:
- 评估与现实差距:
尽管微软最初评级为“利用可能性较低”,但 Check Point 证实自 3 月 19 日起该漏洞已被积极利用。这再次提醒我们不能完全依赖供应商的初始评估,尤其是漏洞被 CISA 加入 KEV 目录后。 - 攻击活动:
已观察到至少 10 起以窃取 NTLM 哈希为目标的攻击活动。例如,针对波兰、罗马尼亚政企机构的攻击通过恶意邮件分发含毒压缩包的 Dropbox 链接。 - 核心风险:
泄露的 NTLM 哈希为攻击者实施 Pass-the-Hash 攻击打开了大门,极大增加了内网横向移动和权限提升的风险。
修复与加固建议:
对于系统管理员:
- 立即打补丁:
安装微软 2025 年 3 月 Patch Tuesday 发布的安全更新,彻底修复 CVE-2025-24054。 - 强化 NTLM 安全配置 (纵深防御):
- 禁用 NTLMv1,强制 NTLMv2。
- 启用 SMB 签名 (SMB Signing):
防御 NTLM Relay 攻击。 - 启用 EPA (扩展保护认证):
防御某些中间人攻击。 - 限制 NTLM 使用范围:
尽可能全面转向 Kerberos。 - 遵循 CISA 指令:
美国联邦机构需在 5 月 8 日前完成修复。此时间表可作为所有组织评估修复紧迫性的参考。
对于普通用户:
- 确保系统更新:
开启 Windows Update 自动更新,并及时安装所有安全补丁。 - 警惕未知压缩包:
对下载的 ZIP 或其他压缩文件保持警惕,即使来自看似可信的来源(如云存储链接),解压时也要留意系统行为。不要随意点击或处理可疑的 .library-ms文件。
CVE-2025-24054 的在野利用再次凸显了 NTLM 协议的历史包袱和现实风险。其“下载即泄露”的特性使得防御难度增大。组织机构和个人用户都应立即应用微软官方补丁,并结合必要的安全配置和使用习惯,共同应对这一威胁。
原文始发于微信公众号(技术修道场):Windows CVE-2025-24054 漏洞解析:下载即泄 NTLM 哈希,Pass-the-Hash 风险剧增!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论