【已复现】Windows 文件资源管理器欺骗漏洞(CVE-2025-24071)安全风险通告
【已复现】Windows 文件资源管理器欺骗漏洞(CVE-2025-24071)安全风险通告
奇安信 CERT 2025-03-19 11:50
●
点击↑蓝字关注我们,获取更多安全风险通告
|
漏洞概述 |
|||
|
漏洞名称 |
Windows 文件资源管理器欺骗漏洞 |
||
|
漏洞编号 |
QVD-2025-10439,CVE-2025-24071 |
||
|
公开时间 |
2025-03-11 |
影响量级 |
千万级 |
|
奇安信评级 |
高危 |
CVSS 3.1分数 |
7.5 |
|
威胁类型 |
信息泄露 |
利用可能性 |
高 |
|
POC状态 |
已公开 |
在野利用状态 |
已发现 |
|
EXP状态 |
已公开 |
技术细节状态 |
已公开 |
|
危害描述:攻击者可利用这些凭据进行传递哈希攻击或离线 NTLM 哈希破解。 |
|||
01
漏洞详情
>
>
>
>
影响组件
Windows文件资源管理器(File Explorer)是Windows操作系统中的一个核心组件,用于浏览和管理计算机中的文件、文件夹和驱动器。它提供了直观的图形界面,使用户能够方便地进行文件操作。
>
>
>
>
漏洞描述
近日,奇安信CERT监测到微软发布3月补丁日安全更新修复Windows 文件资源管理器欺骗漏洞(CVE-2025-24071),该漏洞产生的原因是Windows 资源管理器在解压包含特制 .library-ms 文件的 RAR/ZIP 存档时,会自动解析该文件内嵌的恶意 SMB 路径(如 \192.168.1.116\shared),触发隐式 NTLM 认证握手,导致用户 NTLMv2 哈希泄露。目前该漏洞技术细节与POC已在互联网上公开,
鉴于该漏洞已发现在野利用行为,建议客户尽快做好自查及防护。
02
影响范围
>
>
>
>
影响版本
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows Server 2025 (Server Core installation)
Windows Server 2025
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 11 Version 24H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
>
>
>
>
其他受影响组件
无
03
复现情况
目前,奇
安信CERT已成功复现Windows 文件资源管理器欺骗漏洞(CVE-2025-24071),截图如下:
04
处置建议
>
>
>
>
安全更新
使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞,也可以通过奇安信天擎客户端一键更新修补相关漏洞。
也可以采用以下官方解决方案及缓解方案来防护此漏洞:
Windows自动更新
Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:
1、点击“开始菜单”或按Windows快捷键,点击进入“设置”
2、选择“更新和安全”,进入“Windows更新”(Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”-> “系统和安全”->“Windows更新”)
3、选择“检查更新”,等待系统将自动检查并下载可用更新
4、重启计算机,安装更新
系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
手动安装补丁
另外,对于不能自动更新的系统版本,可参考以下链接下载适用于该系统的补丁并安装:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24071
>
>
>
>
产品解决方案
奇安信天擎终端安全管理系统解决方案
奇安信天擎终端安全管理系统并且有漏洞修复相关模块的用户,可以将补丁库版本更新到:
2025.3.12.1及以上版本,对内网终端进行补丁更新。
推荐采用自动化运维方案,如果控制中心可以连接互联网的用户场景,建议设置为自动从奇安信云端更新补丁库至
2025.3.12.1版本。
控制中心补丁库更新方式:每天04:00-06:00自动升级,升级源为从互联网升级。
纯隔离网内控制中心不能访问互联网,不能下载补丁库和补丁文件,需使用离线升级工具定期导入补丁库和文件到控制中心。
05
参考资料
[1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24071
[2]https://nvd.nist.gov/vuln/detail/CVE-2025-24071
06
时间线
2025年03月19日,奇安信 CERT发布安全风险通告。
07
漏洞情报服务
奇安信ALPH
A威胁分析平台已支持漏洞情报订阅服务:
奇安信 CERT
致力于
第一时间为企业级用户提供权威漏洞情报和有效
解决方案。
点击↓阅读原文,到ALPHA威胁分析平台
订阅更多漏洞信息。