Windows CVE-2025-24054 漏洞解析:下载即泄 NTLM 哈希,Pass-the-Hash 风险剧增!
Windows CVE-2025-24054 漏洞解析:下载即泄 NTLM 哈希,Pass-the-Hash 风险剧增!
原创 Hankzheng 技术修道场 2025-04-23 23:59
美国网络安全与基础设施安全局 (CISA) 近日将 Windows NTLM 漏洞 CVE-2025-24054 (CVSS 6.5)
加入其“已知被利用漏洞 (KEV)”清单,证实该漏洞正在野外被积极利用
。尽管微软已在 3 月修复此漏洞,但其极低的触发条件
和直接泄露 NTLM 凭证哈希
的能力,使其构成了严峻的实际威胁,远超其“中危”评分所能完全体现的风险。
技术背景:脆弱的 NTLM 与 Pass-the-Hash
NTLM 是 Windows 遗留的身份验证协议
(已被微软弃用,推荐 Kerberos)。其设计缺陷使其易受多种攻击,获取用户的 NTLM 哈希是关键一步。Pass-the-Hash (PtH)
攻击是其中最著名的一种,它利用了 NTLM 认证主要依赖密码哈希而非明文密码进行挑战/响应
的原理。攻击者一旦获得用户密码的 NTLM 哈希,通常无需破解密码原文,即可直接使用该哈希在网络内模拟用户身份进行认证
,进而实现横向移动和权限提升。
漏洞机制详解 (CVE-2025-24054):.library-ms 文件触发的 NTLM 认证
CVE-2025-24054 是一个 NTLM 哈希泄露型的欺骗漏洞,被认为是 CVE-2024-43451 的变种。
– 触发载体 (.library-ms 文件):
– .library-ms
文件是 Windows 库 (Libraries) 功能
使用的 XML 配置文件,用于聚合不同文件夹的内容视图。这类文件可能包含指向网络资源的引用。
-
攻击者可以构造恶意的 .library-ms 文件
,在其中嵌入指向攻击者控制的远程 SMB 服务器
的 UNC 路径。 -
极低交互触发:
-
用户对该文件的极少交互
(单击选中、右键查看等,无需打开)即可触发。 -
更甚者:仅仅下载并使用 Windows 资源管理器解压包含此文件的 ZIP 压缩包,Explorer 在处理该文件时,就会自动尝试通过 SMB 协议连接到恶意服务器,并进行 NTLM 身份验证。
- 哈希泄露:
这个自动的 NTLM 认证过程会将当前登录用户的 NTLM 哈希
(具体报告为 NTLMv2-SSP 哈希
,代表 NTLMv2 协议与安全支持提供者协商的结果)发送给攻击者的服务器。
在野利用实况与风险升级:
– 评估与现实差距:
尽管微软最初评级为“利用可能性较低”,但 Check Point 证实自 3 月 19 日起该漏洞已被积极利用
。这再次提醒我们不能完全依赖供应商的初始评估
,尤其是漏洞被 CISA 加入 KEV 目录后。
-
攻击活动:
已观察到至少 10 起
以窃取 NTLM 哈希为目标的攻击活动。例如,针对波兰、罗马尼亚政企机构的攻击通过恶意邮件分发含毒压缩包的 Dropbox 链接。 -
核心风险:
泄露的 NTLM 哈希为攻击者实施 Pass-the-Hash
攻击打开了大门,极大增加了内网横向移动和权限提升
的风险。
修复与加固建议:
对于系统管理员:
1. 立即打补丁:
安装微软 2025 年 3 月 Patch Tuesday
发布的安全更新,彻底修复 CVE-2025-24054。
- 强化 NTLM 安全配置 (纵深防御):
- 禁用 NTLMv1,强制 NTLMv2。
-
启用 SMB 签名 (SMB Signing):
防御 NTLM Relay 攻击。 -
启用 EPA (扩展保护认证):
防御某些中间人攻击。 -
限制 NTLM 使用范围:
尽可能全面转向 Kerberos。 -
遵循 CISA 指令:
美国联邦机构需在 5 月 8 日
前完成修复。此时间表可作为所有组织评估修复紧迫性的参考
。
对于普通用户:
1. 确保系统更新:
开启 Windows Update 自动更新,并及时安装所有安全补丁。
- 警惕未知压缩包:
对下载的 ZIP 或其他压缩文件保持警惕,即使来自看似可信的来源(如云存储链接),解压时也要留意系统行为。不要随意点击或处理可疑的 .library-ms 文件
。
CVE-2025-24054 的在野利用再次凸显了 NTLM 协议的历史包袱和现实风险。其“下载即泄露”的特性使得防御难度增大。组织机构和个人用户都应立即应用微软官方补丁
,并结合必要的安全配置和使用习惯,共同应对这一威胁。