Windows文件管理器漏洞可导致网络欺骗攻击 - PoC已发布

Windows文件管理器中发现了一个名为CVE-2025-24071的管击关键漏洞，攻击者只需解压压缩文件即可窃取用户的理器漏洞络欺NTLM哈希密码 ，无需用户进行任何交互
。可导安全研究人员已发布了该高危漏洞的致网概念验证（PoC）利用程序，微软已在2025年3月的骗攻更新中修复了该漏洞
。

Windows文件管理器漏洞分析

该漏洞被称为“通过RAR/ZIP解压缩导致的管击NTLM哈希泄露”，利用了Windows文件管理器的理器漏洞络欺自动文件处理机制。当用户从压缩包中提取一个包含恶意SMB路径的可导.library-ms文件时 ，Windows文件管理器会自动解析其内容以生成预览和索引元数据 。致网

即使用户从未显式打开提取的亿华云骗攻文件，这种自动处理也会发生 。管击安全研究员“0x6rss”表示  ，理器漏洞络欺.library-ms文件格式是可导基于XML的 ，Windows文件管理器信任该文件格式以定义库位置  ，致网其中包含一个指向攻击者控制的骗攻SMB服务器的标签 。

在提取文件后 ，Windows文件管理器会尝试自动解析嵌入的SMB路径（例如 ，\192.168.1.116\shared）以收集元数据 。此操作会触发受害者系统与攻击者服务器之间的NTLM认证握手，模板下载从而在没有用户交互的情况下泄露受害者的NTLMv2哈希 。

漏洞利用过程

研究人员通过进程监控工具观察到 ，在提取文件后，Explorer.exe和SearchProtocolHost.exe（Windows索引服务的一部分）会立即对.library-ms文件执行以下操作 ：

CreateFile
：自动打开文件ReadFile：读取文件内容QueryBasicInformationFile ：提取元数据CloseFile ：处理完毕后关闭文件

Wireshark抓包数据证实 ，这些操作会立即触发SMB通信尝试
，包括NTLM认证握手。

风险因素

详细信息

受影响产品

微软Windows（特别是Windows文件管理器）

影响

- 泄露受害者的NTLMv2凭证，用于传递哈希攻击 - 潜在的离线NTLM哈希破解 - 创建欺骗漏洞

利用前提

- 用户必须解压一个特制的.library-ms文件 - 攻击者需要设置SMB服务器以接收认证请求

CVSS 3.1评分

7.5（重要）

PoC利用与威胁情报

该漏洞可能导致敏感信息暴露给未经授权的攻击者，源码下载从而引发网络欺骗攻击。2025年3月16日 ，安全研究员“0x6rss”在GitHub上发布了一个概念验证利用程序。该PoC包含一个生成恶意.library-ms文件的Python脚本 ，可通过简单的命令运行：python poc.py。

有证据表明，此漏洞可能在公开披露之前已被出售和利用。一个名为“Krypt0n”的威胁行为者据称是恶意软件“EncryptHub Stealer”的开发者 ，其在黑市论坛上出售了该漏洞利用程序。

威胁行为者的帖子

根据翻译的免费模板论坛帖子 ，该攻击者解释道：“接收哈希的服务器是在本地创建的 ，例如在VPS上。然后，通过利用该漏洞
 ，你可以生成一个包含你的IP
、共享路径等的配置文件 。……如果用户只是打开文件管理器或访问共享文件夹，就会发生自动重定向，用户的服务器租用哈希值将被发送到你的服务器。”

漏洞缓解措施

微软已于2025年3月11日通过“补丁星期二”更新修复了该漏洞。强烈建议所有Windows用户立即应用这些安全更新。该漏洞是微软产品中不断增加的NTLM相关漏洞之一，此前研究人员在Microsoft Access、Publisher和其他应用程序中也发现了类似的凭证泄露问题。

安全专家建议用户保持所有微软产品的更新，并实施额外的防护措施以应对NTLM中继攻击，例如启用SMB签名并在可能的情况下禁用NTLM 。源码库