Tổng quan lỗ hổng
CVE-2025-24071 là một lỗ hổng bảo mật nghiêm trọng liên quan đến Windows Explorer, cho phép rò rỉ NTLM hash của người dùng chỉ thông qua thao tác giải nén các tập tin nén (RAR/ZIP) chứa file .library-ms. Đáng chú ý, người dùng không cần phải mở file .library-ms mà chỉ cần giải nén là quá trình tấn công đã được kích hoạt.
Cơ chế tấn công
- Khi một file .library-ms (Windows Library Description File) được giải nén từ một file nén (RAR/ZIP), Windows Explorer sẽ tự động phát sinh một yêu cầu xác thực SMB (Server Message Block) đến một địa chỉ mạng mà attacker chỉ định bên trong file này.
- Quá trình xác thực SMB này sẽ gửi đi NTLM hash của người dùng hiện tại lên server SMB của attacker, tạo điều kiện cho việc thu thập hash để tấn công brute-force hoặc relay.
- Điểm nguy hiểm là toàn bộ quá trình này diễn ra tự động, không yêu cầu người dùng phải mở hoặc tương tác với file .library-ms sau khi giải nén.
Phân tích kỹ thuật
Mô tả chi tiết
- Attacker tạo ra một file nén RAR/ZIP có chứa file .library-ms được chỉnh sửa để trỏ đến một share SMB mà attacker kiểm soát.
- Khi nạn nhân giải nén file này, Windows Explorer sẽ tự động access tới SMB share đó để lấy metadata của thư viện, từ đó gửi NTLM hash.
- Tất cả các hệ thống Windows có bật tính năng tự động render thư viện file Explorer đều có nguy cơ bị ảnh hưởng.
Quy trình khai thác (PoC)
Quy trình khai thác được mô tả như sau:
| Bước | Mô tả |
|---|---|
| 1 | Attacker tạo file .library-ms với SMB path trỏ ra ngoài (tới máy attacker). |
| 2 | File .library-ms được thêm vào file nén (RAR/ZIP). |
| 3 | Nạn nhân giải nén file nén trên máy Windows. |
| 4 | Windows Explorer tự động gửi NTLM hash tới server SMB do attacker kiểm soát. |
Hướng dẫn sử dụng PoC
PoC trong repo cung cấp một script Python thực hiện các bước tạo file khai thác. Hướng dẫn sử dụng cơ bản như sau:
python poc.py
enter file name: [Nhập tên file nén cần tạo]
enter IP: [Nhập IP máy attacker (SMB server)]
Khi nạn nhân giải nén file nén này, hash NTLM sẽ được gửi về máy attacker.
Video minh họa
Video demo được tác giả repo cung cấp tại:
https://github.com/user-attachments/assets/fa6f16da-70ce-45e5-ac55-0c92a3623cad
Cập nhật về mã CVE
Ban đầu, Microsoft định danh lỗ hổng này là CVE-2025-24071. Tuy nhiên, sau đó đã đổi mã thành CVE-2025-24054.
Nhận định và tác động
- Lỗ hổng này cực kỳ nguy hiểm vì chỉ cần người dùng giải nén file nén do attacker chuẩn bị, thông tin nhạy cảm đã bị rò rỉ.
- Đây là dạng tấn công social engineering tinh vi, tận dụng sự tin tưởng khi thao tác với file nén phổ biến.
- NTLM hash bị rò rỉ có thể bị dùng để tấn công brute-force hoặc relay, dẫn tới nguy cơ xâm nhập hệ thống nội bộ.
Kết luận
CVE-2025-24071 (nay là CVE-2025-24054) là minh chứng cho việc những thao tác tưởng chừng vô hại như giải nén file cũng có thể trở thành vector tấn công nghiêm trọng trên hệ điều hành Windows. Người dùng cần cực kỳ cảnh giác khi nhận và giải nén file từ nguồn không tin cậy, đồng thời các quản trị viên nên kiểm soát việc chia sẻ và giải nén file trên hệ thống.
Source link: 0x6rss/CVE-2025-24071_PoC
