Windows 11 文件资源管理器漏洞（CVE-2025-24071）POC发布

Windows 文件资源管理器中发现了一个新披露的漏洞CVE-2025-24071，具体影响支持 .library-ms 文件和 SMB 协议的 Windows 11（23H2）及更早版本。

该漏洞使攻击者只需诱骗用户提取恶意 ZIP 存档即可捕获NTLM（新技术 LAN 管理器）身份验证哈希 - 无需进一步交互。

该漏洞利用了 Windows 资源管理器的自动文件处理功能。

当提取包含特制.library-ms文件的 ZIP 或 RAR 存档时，Windows 资源管理器和 SearchProtocolHost.exe 服务会自动解析该文件以收集元数据。

如果.library-ms文件引用了攻击者控制的远程 SMB（服务器消息块）路径（例如\attacker_ipshared），Windows 将向该服务器发起 SMB 身份验证握手。

这次握手传输了受害者的 NTLMv2 哈希，然后攻击者可以拦截并可能离线破解该哈希。

安全研究员 Mohammed Idrees Banyamer 发布了演示此次攻击的概念验证 (PoC)。

Python 脚本会自动创建恶意.library-ms文件，嵌入对攻击者控制的 SMB 服务器的引用。然后脚本将此文件打包成 ZIP 存档。

当受害者提取档案时，他们的系统会自动尝试与攻击者的 SMB 服务器进行身份验证，从而泄露 NTLM 哈希。

该漏洞已被广泛利用，攻击活动针对的是政府和私营部门组织。攻击者通过网络钓鱼电子邮件、Dropbox 链接和地下论坛分发恶意 ZIP 档案。

微软在 2025 年 3 月补丁日更新中解决了该漏洞，并敦促所有用户立即应用最新的安全补丁。此外，建议组织尽可能限制或禁用 NTLM 身份验证、启用 SMB 签名并监控可疑的 SMB 流量。

公开的poc页面：

https://www.exploit-db.com/exploits/52310

新闻链接：

https://securityaffairs.com/178386/malware/pumabot-targets-linux-iot-devices.html