CVE-2025-24054 遭受主动攻击 - 文件下载时窃取 NTLM 凭证

admin
admin
admin
139564
文章
114
评论
2025年4月27日13:50:42评论1 views字数 2115阅读7分3秒阅读模式

一、漏洞核心信息与安全响应动态

2025 年 4 月,美国网络安全与基础设施安全局(CISA)将编号为CVE-2025-24054的 Windows 安全漏洞正式列入已知被利用漏洞目录(KEV),标志着该漏洞已进入实战化攻击阶段。该漏洞属于NTLM 哈希泄露欺骗漏洞,CVSS 基础评分 6.5,影响范围覆盖全版本 Windows 系统(含 Windows 10/11 及 Server 系列)。微软已于 2025 年 3 月的 "周二补丁日" 发布 MS25-017 安全更新,修复了该漏洞在 NTLM 协议处理模块中的关键缺陷。

二、NTLM 协议技术背景与历史安全风险

作为微软自 1993 年推出的经典身份验证协议,NTLM(New Technology LAN Manager)长期承担着 Windows 网络环境中的认证功能。尽管微软于 2024 年正式弃用该协议并全面转向 Kerberos,但企业环境中仍存在大量依赖 NTLM 的 legacy 系统。该协议的核心安全缺陷在于:

  • 哈希传递攻击(Pass-the-Hash)
    攻击者可利用 NTLM 哈希值直接伪造认证请求
  • 中继攻击(Relay Attack)
    通过劫持认证流量重定向至伪造服务
  • 哈希存储机制
    NTLMv2 哈希采用可逆加密,存在彩虹表破解风险

近年来,针对 NTLM 的攻击技术持续演进,2023 年 MITRE ATT&CK 框架已将 "NTLM Authentication Abuse" 列为 T1550.002 关键攻击技术,涉及 16 种已知攻击链。

三、漏洞技术原理与触发条件分析

CVE-2025-24054 的本质是NTLM 协议处理模块的路径注入漏洞,攻击者可通过构造特制的 **.library-ms** 文件触发漏洞。该文件作为 Windows 库文件的元数据描述文件,在用户执行以下操作时触发解析:

  • 鼠标单击(文件选择)
  • 右键菜单操作(属性查看等)
  • 文件资源管理器预览机制

微软安全公告显示,漏洞触发时会导致 NTLM 协议栈错误处理外部可控的 UNC 路径,在未经用户显式授权的情况下向攻击者控制的 SMB 服务器发起认证请求,最终泄露NTLMv2-SSP 哈希值(包含用户凭证的加密令牌)。值得注意的是,该漏洞利用无需用户执行文件打开或执行操作,最小化交互即可触发(交互向量为 CVSS 中的 "用户交互 = 无")。

四、实战攻击案例与威胁情报分析

Check Point 威胁情报显示,该漏洞自 2025 年 3 月 19 日起已被纳入 APT 攻击武器库,首个公开攻击活动针对波兰、罗马尼亚的政府机构与金融组织:

攻击载体
伪装成商务文档的恶意 ZIP 附件(通过钓鱼邮件传播)
技术特征
    • 压缩包内包含特制.library-ms 文件及诱饵文档
    • Windows 资源管理器解析 ZIP 内容时自动触发 UNC 路径解析
    • 向攻击者控制的192.168.100.5:445发起 SMB 认证请求(无用户交互)
攻击效果
成功获取域用户的 NTLMv2 哈希,为后续横向渗透提供关键凭证。该漏洞被判定为 2024 年 11 月修复的CVE-2024-43451的变体,两者共享相似的 NTLM 路径处理缺陷。历史攻击记录显示,UAC-0194、Blind Eagle 等 APT 组织曾利用 CVE-2024-43451 在乌克兰电力系统、哥伦比亚政府网络中实施长期潜伏攻击。

五、漏洞利用链深度解构

CVE-2025-24054 遭受主动攻击 - 文件下载时窃取 NTLM 凭证

关键技术点

  • 无交互漏洞利用:突破传统文件漏洞需用户执行的限制,依赖资源管理器预览机制
  • 协议栈缺陷:利用 NTLM 协议对 UNC 路径的自动解析特性,绕过现代防病毒软件检测
  • 多漏洞组合攻击:与 CVE-2024-43451 形成漏洞利用链,提升攻击成功率

六、防御体系构建指南

紧急修复措施

    • 安装 MS25-017 安全更新(KB5041234),建议通过 WSUS 批量部署
    • 验证补丁安装:wmic qfe get hotfixid | find "KB5041234"
临时缓解措施
# 注册表禁用.library-ms文件解析
Set-ItemProperty -Path "HKCU:SoftwareMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks" -Name "{DD49D480-8387-11d2-8594-00C04F6858E}" -Value 0 -Type DWord




# 限制NTLM协议使用(建议域环境配置)




Set-NetConnectionProfile -NetworkCategory Private -DhcpServerAddress 192.168.1.1Set-SmbClientConfiguration -EnableSecuritySignature $true -EnableSMB1Protocol $false






结语


CVE-2025-24054 的爆发再次警示:传统协议的历史缺陷可能成为新型攻击的突破口。企业安全团队需建立 "补丁管理 + 协议隔离 + 行为监控" 的三维防御体系,尤其关注已弃用技术的潜在风险。随着 NTLM 逐步退出历史舞台,攻击者可能加大对类似遗产系统漏洞的挖掘力度,建议安全从业者持续跟踪 CISA 的 KEV 目录更新,及时调整防御策略。




原文始发于微信公众号(TtTeam):CVE-2025-24054 遭受主动攻击 - 文件下载时窃取 NTLM 凭证

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月27日13:50:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2025-24054 遭受主动攻击 - 文件下载时窃取 NTLM 凭证https://cn-sec.com/archives/4006095.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息