【漏洞与预防】Microsoft Windows 文件资源管理器欺骗漏洞预防

原创 solarsec solar应急响应团队 2025-05-27 06:50

1.引言

在现代操作系统中，文件资源管理器（File Explorer）不仅是用户交互的核心组件，也是系统自动处理文件元数据的关键模块。2025年3月披露的 CVE-2025-24071
 漏洞揭示了该组件在处理 .library-ms
 文件时存在的安全缺陷。攻击者可利用此漏洞，通过构造包含恶意 SMB 路径的 .library-ms
 文件，并将其嵌入压缩档案（如 ZIP 或 RAR）中。当用户在资源管理器中解压该档案时，系统会自动解析 .library-ms
 文件，触发对攻击者控制的 SMB 服务器的 NTLM 身份验证请求，从而泄露用户的 NTLM 哈希值 。

该漏洞的关键在于 Windows 资源管理器对 .library-ms
 文件的隐式信任和自动解析行为。攻击者无需诱导用户打开或执行恶意文件，仅通过用户解压操作即可实现凭据窃取。这种“零交互”特性使得攻击链更具隐蔽性和攻击效率，特别适用于钓鱼邮件、供应链攻击和横向渗透等场景。钓鱼邮件的攻击风险与防范可参考【紧急警示】Locked勒索病毒针对财务人员的钓鱼及勒索攻击激增！企业财务电脑及系统资产遭勒索加密，风险不容忽视！

鉴于该漏洞已被公开披露，并存在可用的概念验证（PoC）代码 ，且相关攻击活动已在野外被观察到 ，本文将深入分析其技术细节、受影响范围、利用方式，并提出相应的检测与防护策略，协助安全从业者及时应对和缓解相关风险。

2.场景还原

2.1场景设置

本次模拟攻击聚焦于 CVE-2025-24071
 漏洞的利用流程。攻击者通过合法工具构造嵌入远程 SMB 路径的 .library-ms
 文件，并将其压缩为 ZIP 文件作为钓鱼邮件附件发送给目标用户。同时，攻击者在本地部署 Responder
 工具监听 445/139 端口，等待捕获 NTLMv2 凭据。

当受害者在资源管理器中解压 ZIP 文件时，系统自动解析 .library-ms
 文件并尝试访问远程路径，触发对攻击者 SMB 服务器的连接请求，进而泄露 NTLMv2 哈希。攻击者使用 Hashcat
 或 John the Ripper
 离线破解凭据，随后通过 RDP
 登录目标服务器，实现远程控制与权限获取。

2.2攻击路线图

2.3攻击复现

黑客构造包含攻击机ip的library-ms文件

将library-ms文件压缩为zip文件

黑客使用responder监听

精心构造钓鱼邮件

受害者接收后进行解压

此时黑客捕获ntlmv2

破解后获取服务器密码

通过rdp连接获取服务器权限

3.防范措施

3.1 系统与补丁管理

• 及时更新系统补丁
  ：https://msrc.microsoft.com/update-guide/zh-cn/vulnerability/CVE-2025-24071

3.2 邮件网关

• 增强邮件安全过滤规则
  ：

• 拦截含 .library-ms
  、.lnk
   等高风险扩展名的附件。

• 标记并隔离外部来源的 ZIP 压缩包，防止钓鱼邮件传播。

3.3 网络隔离与访问控制

• 阻断出站SMB流量
  ：在边界防火墙或企业网关上封锁 445/139 出站访问，防止凭据泄露到攻击者控制的 SMB 服务器。

• 最小权限原则
  ：限制用户本地账户权限，避免使用高权限账户浏览邮件或解压附件。

3.4 身份验证与检测响应

• 启用强密码策略与 MFA
  （多因素认证），即使凭据泄露也难以被直接利用。

• 设置警报机制
  ，一旦出现向未知 SMB 地址的身份验证请求，即触发告警与封堵。

4.相关文章

https://msrc.microsoft.com/update-guide/zh-cn/vulnerability/CVE-2025-24071

以下是solar安全团队近期处理过的常见勒索病毒后缀：

收录时间	病毒家族	相关文章
2025/01/14	medusalocker	【病毒分析】深入剖析MedusaLocker勒索家族：从密钥生成到文件加密的全链路解析
2025/01/15	medusa	【病毒分析】“美杜莎”勒索家族：从入侵到结束的全流程深度解析
2024/12/11	weaxor	【病毒分析】新崛起的weaxor勒索家族：疑似mallox家族衍生版，深度解析两者关联！
2024/10/23	RansomHub	【病毒分析】Ransom Hub:唯一不攻击中国的2024全球Top1勒索家族——ESXi加密器深度解析
2024/11/23	Fx9	【病毒分析】Fx9家族首次现身！使用中文勒索信，熟练勒索谈判
2024/11/04	Makop	【病毒分析】揭秘.mkp后缀勒索病毒！Makop家族变种如何进行可视化加密？
2024/06/26	moneyistime	【病毒分析】使用中文勒索信及沟通：MoneyIsTime 勒索家族的本地化语言转变及其样本分析
2024/04/11	babyk	【病毒分析】BabyK加密器分析-Windows篇 【病毒分析】Babyk加密器分析-NAS篇 【病毒分析】Babyk加密器分析-EXSI篇 【病毒分析】Babuk家族babyk勒索病毒分析 【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目
2024/09/29	lol	【病毒分析】全网首发！全面剖析.LOL勒索病毒，无需缴纳赎金，破解方案敬请期待下篇！ 【工具分享】.LOL勒索病毒再也不怕！完整破解教程分享+免费恢复工具首发
2024/06/10	MBRlock	【病毒分析】假冒游戏陷阱：揭秘MBRlock勒索病毒及其修复方法
2024/06/01	Rast gang	【病毒分析】Steloj勒索病毒分析
2024/06/01	TargetOwner	【病毒分析】技术全面升级，勒索赎金翻倍，新版本TargetOwner勒索家族强势来袭？
2024/11/02	Lockbit 3.0	【病毒分析】Lockbit家族Lockbit 3.0加密器分析 【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告 【病毒分析】繁体勒索信暗藏玄机！要价50万RMB赎金的Lockbit泄露版分析
2024/05/15	wormhole	【病毒分析】Wormhole勒索病毒分析
2024/03/20	tellyouthepass	【病毒分析】locked勒索病毒分析 【病毒分析】中国人不骗中国人？_locked勒索病毒分析
2024/03/01	lvt	【病毒分析】交了赎金也无法恢复–针对国内某知名NAS的LVT勒索病毒最新分析
2024/03/04	phobos	【病毒分析】phobos家族2700变种加密器分析报告 【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目 【病毒分析】phobos家族faust变种加密器分析 【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目 【病毒分析】phobos家族Elbie变种加密器分析报告
2024/03/28	DevicData	【病毒分析】DevicData勒索病毒分析 【病毒分析】DevicData家族扩散：全球企业和机构成为勒索病毒头号攻击目标！
2024/02/27	live	【病毒分析】独家揭秘LIVE勒索病毒家族之1.0（全版本可解密） 【病毒分析】独家揭秘LIVE勒索病毒家族之1.5（全版本可解密） 【病毒分析】独家揭秘LIVE勒索病毒家族之2.0（全版本可解密）
2024/08/16	CryptoBytes	【独家破解】揭秘境外黑客组织的20美元锁机病毒：深度逆向分析+破解攻略！赎金？给你付个🥚
2024/03/15	mallox	【病毒分析】mallox家族malloxx变种加密器分析报告 【病毒分析】Mallox勒索家族新版本：加密算法全面解析 【病毒分析】全网首发！袭扰国内top1勒索病毒家族Mallox家族破解思路及技术分享 【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目 【病毒分析】mallox家族rmallox变种加密器分析报告 【病毒分析】Mallox家族再进化：首次瞄准Linux，勒索新版本全面揭秘！
2024/07/25	BeijngCrypt	【病毒分析】全网首发！以国内某安全厂商名字为后缀的勒索病毒分析
2025/03/11	银狐	【病毒分析】潜伏在AI工具中的幽灵：银狐家族社工攻击的深度剖析
2025/03/07	CTF赛题	【病毒分析】伪造微软官网+勒索加密+支付威胁，CTF中勒索病毒解密题目真实还原！ 【病毒分析】2024年网鼎杯朱雀组REVERSE02——关于勒索木马解密详解
2025/05/14	888	【病毒分析】888勒索家族再出手！幕后加密器深度剖析

勒索攻击作为成熟的攻击手段，很多勒索家族已经形成了一套完整的商业体系，并且分支了很多团伙组织，导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同，TellYouThePass勒索软件家族常常利用系统漏洞进行攻击；Phobos勒索软件家族通过RDP暴力破解进行勒索；Mallox勒索软件家族利用数据库及暴力破解进行加密，攻击手法极多防不胜防。

收录时间	相关文章
2024/12/12	【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第二篇-流量致盲，无声突破
2024/12/11	【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第一篇-驱动漏洞一击致命

而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份，在其基础上加强公司安全人员意识。

收录时间	相关文章
2024/06/27	【教程分享】勒索病毒来袭！教你如何做好数据防护
2024/06/24	【教程分享】服务器数据文件备份教程

案例介绍篇
聚焦于真实的攻击事件，还原病毒家族的攻击路径和策略，为用户提供详细的溯源分析和防护启示；

收录时间	相关文章
2024/06/27	【案例介绍】赎金提高，防御失效：某上市企业两年内两度陷入同一勒索团伙之手
2024/01/26	【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目
2024-03-13	【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目
2024-04-01	【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目
2024-04-26	【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目
2024-05-17	【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵
2024-11-28	【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告

漏洞与预防篇
侧重于技术层面的防御手段，针对病毒利用的漏洞和安全弱点，提出操作性强的应对方案：

收录时间	相关文章
2025/01/08	【漏洞与预防】RDP弱口令漏洞预防
2025/01/21	【漏洞与预防】MSSQL数据库弱口令漏洞预防
2025/02/18	【漏洞与预防】远程代码执行漏洞预防
2025/04/10	【漏洞与预防】Atlassian Confluence存在远程代码执行漏洞
2025/04/17	【漏洞与预防】畅捷通文件上传漏洞预防

应急响应工具教程篇
重点分享应急响应过程中常用工具的安装、配置与使用说明，旨在帮助读者快速掌握这些工具的操作流程与技巧，提高其在实际应急场景中的应用熟练度与效率。

收录时间	相关文章
2025/01/10	【应急响应工具教程】Splunk安装与使用
2025/02/07	【应急响应工具教程】取证工具-Volatility安装与使用
2025/02/20	【应急响应工具教程】流量嗅探工具-Tcpdump
2025/02/26	【应急响应工具教程】一款精准搜索文件夹内容的工具–FileSeek
2025/03/03	【应急响应工具教程】一款自动化分析网络安全应急响应工具–FindAll
2025/03/13	【应急响应工具教程】Windows 系统操作历史监控与审计工具-LastActivityView
2025/03/20	【应急响应工具教程】镜像取证之挂载镜像——Arsenal Image Mounter
2025/04/03	【应急响应工具教程】Windows 系统综合排查工具Hawkeye
2025/04/08	【应急响应工具教程】Linux下应急响应工具whohk
2025/05/15	【应急响应工具教程】Windows日志快速分析工具——Chainsaw

如果您想了解有关勒索病毒的最新发展情况，或者需要获取相关帮助，请关注“solar专业应急响应团队”。

全国热线|400-613-6816

更多资讯 扫码加入群组交流

---

喜欢此内容的人还喜欢

【紧急警示】Weaxor最新变种“.wxx”来袭，批量入国内知名财务类管理系统发起勒索攻击！

索勒安全团队

2025-4月Solar应急响应公益月赛！

索勒安全团队

【病毒分析】888勒索家族再出手！幕后加密器深度剖析

索勒安全团队