Windows文件管理器重大安全漏洞

Windows文件管理器中发现了一个名为CVE-2025-24071的关键漏洞，攻击者只需解压压缩文件即可窃取用户的NTLM哈希密码，无需用户进行任何交互。安全研究人员已发布了该高危漏洞的概念验证（PoC）利用程序，微软已在2025年3月的更新中修复了该漏洞。

该漏洞被称为“通过RAR/ZIP解压缩导致的NTLM哈希泄露”，利用了Windows文件管理器的自动文件处理机制。当用户从压缩包中提取一个包含恶意SMB路径的.library-ms文件时，Windows文件管理器会自动解析其内容以生成预览和索引元数据。

即使用户从未显式打开提取的文件，这种自动处理也会发生。安全研究员“0x6rss”表示，.library-ms文件格式是基于XML的，Windows文件管理器信任该文件格式以定义库位置，其中包含一个指向攻击者控制的SMB服务器的标签。

在提取文件后，Windows文件管理器会尝试自动解析嵌入的SMB路径（例如，\192.168.1.116\shared）以收集元数据。此操作会触发受害者系统与攻击者服务器之间的NTLM认证握手，从而在没有用户交互的情况下泄露受害者的NTLMv2哈希。

PoC利用与威胁情报

该漏洞可能导致敏感信息暴露给未经授权的攻击者，从而引发网络欺骗攻击。2025年3月16日，安全研究员“0x6rss”在GitHub上发布了一个概念验证利用程序。该PoC包含一个生成恶意.library-ms文件的Python脚本，可通过简单的命令运行：python poc.py。

漏洞缓解措施

微软已于2025年3月11日通过“补丁星期二”更新修复了该漏洞。强烈建议所有Windows用户立即应用这些安全更新。该漏洞是微软产品中不断增加的NTLM相关漏洞之一，此前研究人员在Microsoft Access、Publisher和其他应用程序中也发现了类似的凭证泄露问题。安全专家建议用户保持所有微软产品的更新，并实施额外的防护措施以应对NTLM中继攻击，例如启用SMB签名并在可能的情况下禁用NTLM。