一、漏洞核心信息与安全响应动态

2025 年 4 月,美国网络安全与基础设施安全局(CISA)将编号为CVE-2025-24054的 Windows 安全漏洞正式列入已知被利用漏洞目录(KEV),标志着该漏洞已进入实战化攻击阶段。该漏洞属于NTLM 哈希泄露欺骗漏洞,CVSS 基础评分 6.5,影响范围覆盖全版本 Windows 系统(含 Windows 10/11 及 Server 系列)。微软已于 2025 年 3 月的 "周二补丁日" 发布 MS25-017 安全更新,修复了该漏洞在 NTLM 协议处理模块中的关键缺陷。

二、NTLM 协议技术背景与历史安全风险

作为微软自 1993 年推出的经典身份验证协议,NTLM(New Technology LAN Manager)长期承担着 Windows 网络环境中的认证功能。尽管微软于 2024 年正式弃用该协议并全面转向 Kerberos,但企业环境中仍存在大量依赖 NTLM 的 legacy 系统。该协议的核心安全缺陷在于:

  • 哈希传递攻击(Pass-the-Hash)

    攻击者可利用 NTLM 哈希值直接伪造认证请求

  • 中继攻击(Relay Attack)

    通过劫持认证流量重定向至伪造服务

  • 哈希存储机制

    NTLMv2 哈希采用可逆加密,存在彩虹表破解风险

近年来,针对 NTLM 的攻击技术持续演进,2023 年 MITRE ATT&CK 框架已将 "NTLM Authentication Abuse" 列为 T1550.002 关键攻击技术,涉及 16 种已知攻击链。

三、漏洞技术原理与触发条件分析

CVE-2025-24054 的本质是NTLM 协议处理模块的路径注入漏洞,攻击者可通过构造特制的 .library-ms 文件触发漏洞。该文件作为 Windows 库文件的元数据描述文件,在用户执行以下操作时触发解析:

  • 鼠标单击(文件选择)

  • 右键菜单操作(属性查看等)

  • 文件资源管理器预览机制

微软安全公告显示,漏洞触发时会导致 NTLM 协议栈错误处理外部可控的 UNC 路径,在未经用户显式授权的情况下向攻击者控制的 SMB 服务器发起认证请求,最终泄露NTLMv2-SSP 哈希值(包含用户凭证的加密令牌)。值得注意的是,该漏洞利用无需用户执行文件打开或执行操作,最小化交互即可触发(交互向量为 CVSS 中的 "用户交互 = 无")。

四、实战攻击案例与威胁情报分析

Check Point 威胁情报显示,该漏洞自 2025 年 3 月 19 日起已被纳入 APT 攻击武器库,首个公开攻击活动针对波兰、罗马尼亚的政府机构与金融组织:

攻击载体

伪装成商务文档的恶意 ZIP 附件(通过钓鱼邮件传播)

技术特征

  • 压缩包内包含特制.library-ms 文件及诱饵文档

  • Windows 资源管理器解析 ZIP 内容时自动触发 UNC 路径解析

  • 向攻击者控制的 192.168.100.5:445发起 SMB 认证请求(无用户交互)

攻击效果

成功获取域用户的 NTLMv2 哈希,为后续横向渗透提供关键凭证。该漏洞被判定为 2024 年 11 月修复的CVE-2024-43451的变体,两者共享相似的 NTLM 路径处理缺陷。历史攻击记录显示,UAC-0194、Blind Eagle 等 APT 组织曾利用 CVE-2024-43451 在乌克兰电力系统、哥伦比亚政府网络中实施长期潜伏攻击。

五、漏洞利用链深度解构

关键技术点

  • 无交互漏洞利用:突破传统文件漏洞需用户执行的限制,依赖资源管理器预览机制

  • 协议栈缺陷:利用 NTLM 协议对 UNC 路径的自动解析特性,绕过现代防病毒软件检测

  • 多漏洞组合攻击:与 CVE-2024-43451 形成漏洞利用链,提升攻击成功率

六、防御体系构建指南

紧急修复措施

  • 安装 MS25-017 安全更新(KB5041234),建议通过 WSUS 批量部署

  • 验证补丁安装:wmic qfe get hotfixid | find "KB5041234"

临时缓解措施

# 注册表禁用.library-ms文件解析

Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks" -Name "{DD49D480-8387-11d2-8594-00C04F6858E}" -Value 0 -Type DWord

# 限制NTLM协议使用(建议域环境配置)

Set-NetConnectionProfile -NetworkCategory Private -DhcpServerAddress 192.168.1.1Set-SmbClientConfiguration -EnableSecuritySignature $true -EnableSMB1Protocol $false

结语

CVE-2025-24054 的爆发再次警示:传统协议的历史缺陷可能成为新型攻击的突破口。企业安全团队需建立 "补丁管理 + 协议隔离 + 行为监控" 的三维防御体系,尤其关注已弃用技术的潜在风险。随着 NTLM 逐步退出历史舞台,攻击者可能加大对类似遗产系统漏洞的挖掘力度,建议安全从业者持续跟踪 CISA 的 KEV 目录更新,及时调整防御策略。

免责声明

本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本平台和发布者不为此承担任何责任。