紧急预警！CVE-2025-24054漏洞遭主动攻击，文件下载竟成“钓鱼陷阱”！

原创 道玄安全 道玄网安驿站 2025-04-19 23:00

“
 CVE-2025-24054。”

01

—

事件背景

近日，安全研究人员监测到
高危漏洞CVE-2025-24054
正被黑客组织大规模利用，攻击者通过伪装“文件下载”操作，诱导用户触发恶意请求，窃取Windows系统的
NTLM凭据
。该漏洞已造成多起企业数据泄露事件，需立即采取防护措施！

🔍 漏洞原理速览

NTLM（Windows身份验证协议）的潜在缺陷是此次攻击的核心。攻击者通过以下步骤实施窃取：
1. 钓鱼陷阱
：伪造文件下载链接（如邮件附件、网页按钮），诱骗用户点击。

1. 触发认证
   ：用户点击后，系统自动向攻击者控制的服务器发起NTLM认证请求。

2. 凭据截获
   ：攻击者捕获NTLM哈希值，破解后可直接登录内网、横向渗透或提权！

⚠️ 风险等级
– 影响范围
：所有使用NTLM协议进行身份验证的Windows系统（包括企业内网）。

• 危害性
  ：凭据泄露可导致勒索攻击、数据窃取、供应链渗透等连锁风险。

🚨 紧急应对指南

企业及个人用户需立即采取以下措施：
1. 禁用NTLMv1协议

NTLMv1安全性极低，建议升级至
NTLMv2
或更安全的
Kerberos协议
。

操作路径
：组策略编辑器 → 安全设置 → 网络安全 → LAN管理器身份验证级别。

1. 启用SMB签名

强制SMB通信签名，防止中间人攻击篡改数据。

1. 警惕陌生文件下载

2. 员工培训：勿点击不明链接/附件，尤其警惕“紧急文件”“订单确认”等诱导话术。

3. 邮件网关：部署钓鱼邮件过滤规则，拦截可疑域名请求。

4. 监控异常认证请求

通过SIEM工具或日志分析，实时监测内网中非常规NTLM认证行为（如来自外部IP）。

1. 更新补丁与加固

关注微软官方通告，及时应用CVE-2025-24054相关补丁（若已发布）。

💡 防御升级建议
– 零信任架构
：基于最小权限原则，限制内网横向移动。

• 多因素认证（MFA）
  ：即使凭据泄露，也能增加攻击门槛。

• 渗透测试
  ：定期模拟攻击，排查NTLM协议暴露风险。

📢 结语：

CVE-2025-24054的利用门槛低、危害深远，企业需立即行动，切断攻击链条！安全无小事，转发提醒全员警惕！

免责声明：

本人所有文章均为技术分享，均用于防御为目的的记录，所有操作均在实验环境下进行，请勿用于其他用途，否则后果自负。

第二十七条：任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序和工具；明知他人从事危害网络安全的活动，不得为其提供技术支持、广告推广、支付结算等帮助

第十二条：  国家保护公民、法人和其他组织依法使用网络的权利，促进网络接入普及，提升网络服务水平，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。

任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

第十三条：  国家支持研究开发有利于未成年人健康成长的网络产品和服务，依法惩治利用网络从事危害未成年人身心健康的活动，为未成年人提供安全、健康的网络环境。