Windows 11 文件资源管理器漏洞(CVE-2025-24071)POC发布
Windows 11 文件资源管理器漏洞(CVE-2025-24071)POC发布
会杀毒的单反狗 军哥网络安全读报 2025-05-30 01:01
导读
Windows 文件资源管理器中发现了一个新披露的漏洞CVE-2025-24071,具体影响支持 .library-ms 文件和 SMB 协议的 Windows 11(23H2)及更早版本。
该漏洞使攻击者只需诱骗用户提取恶意 ZIP 存档即可捕获NTLM(新技术 LAN 管理器)身份验证哈希 – 无需进一步交互。
该漏洞利用了 Windows 资源管理器的自动文件处理功能。
当提取包含特制.library-ms文件的 ZIP 或 RAR 存档时,Windows 资源管理器和 SearchProtocolHost.exe 服务会自动解析该文件以收集元数据。
如果.library-ms文件引用了攻击者控制的远程 SMB(服务器消息块)路径(例如\attacker_ip\shared),Windows 将向该服务器发起 SMB 身份验证握手。
这次握手传输了受害者的 NTLMv2 哈希,然后攻击者可以拦截并可能离线破解该哈希。
安全研究员 Mohammed Idrees Banyamer 发布了演示此次攻击的概念验证 (PoC)。
Python 脚本会自动创建恶意.library-ms文件,嵌入对攻击者控制的 SMB 服务器的引用。然后脚本将此文件打包成 ZIP 存档。
当受害者提取档案时,他们的系统会自动尝试与攻击者的 SMB 服务器进行身份验证,从而泄露 NTLM 哈希。
该漏洞已被广泛利用,攻击活动针对的是政府和私营部门组织。攻击者通过网络钓鱼电子邮件、Dropbox 链接和地下论坛分发恶意 ZIP 档案。
微软在 2025 年 3 月补丁日更新中解决了该漏洞,并敦促所有用户立即应用最新的安全补丁。此外,建议组织尽可能限制或禁用 NTLM 身份验证、启用 SMB 签名并监控可疑的 SMB 流量。
公开的
poc
页面:
https://www.exploit-db.com/exploits/52310
新闻链接:
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事