Windows文件资源管理器欺骗漏洞安全风险通告
责编:gltian |2025-03-21 13:46:28| 漏洞概述 | |||
| 漏洞名称 | Windows 文件资源管理器欺骗漏洞 | ||
| 漏洞编号 | QVD-2025-10439,CVE-2025-24071 | ||
| 公开时间 | 2025-03-11 | 影响量级 | 千万级 |
| 奇安信评级 | 高危 | CVSS 3.1分数 | 7.5 |
| 威胁类型 | 信息泄露 | 利用可能性 | 高 |
| POC状态 | 已公开 | 在野利用状态 | 已发现 |
| EXP状态 | 已公开 | 技术细节状态 | 已公开 |
| 危害描述:攻击者可利用这些凭据进行传递哈希攻击或离线 NTLM 哈希破解。 | |||
01 漏洞详情
影响组件
Windows文件资源管理器(File Explorer)是Windows操作系统中的一个核心组件,用于浏览和管理计算机中的文件、文件夹和驱动器。它提供了直观的图形界面,使用户能够方便地进行文件操作。
漏洞描述
近日,奇安信CERT监测到微软发布3月补丁日安全更新修复Windows 文件资源管理器欺骗漏洞(CVE-2025-24071),该漏洞产生的原因是Windows 资源管理器在解压包含特制 .library-ms 文件的 RAR/ZIP 存档时,会自动解析该文件内嵌的恶意 SMB 路径(如 \\\\192.168.1.116\\shared),触发隐式 NTLM 认证握手,导致用户 NTLMv2 哈希泄露。目前该漏洞技术细节与POC已在互联网上公开,鉴于该漏洞已发现在野利用行为,建议客户尽快做好自查及防护。
02 影响范围
影响版本
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows Server 2025 (Server Core installation)
Windows Server 2025
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 11 Version 24H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
其他受影响组件
无
03 复现情况
目前,奇安信CERT已成功复现Windows 文件资源管理器欺骗漏洞(CVE-2025-24071),截图如下:
04 处置建议
安全更新
使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞,也可以通过奇安信天擎客户端一键更新修补相关漏洞。
也可以采用以下官方解决方案及缓解方案来防护此漏洞:
Windows自动更新
Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:
1、点击“开始菜单”或按Windows快捷键,点击进入“设置”
2、选择“更新和安全”,进入“Windows更新”(Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”-> “系统和安全”->“Windows更新”)
3、选择“检查更新”,等待系统将自动检查并下载可用更新
4、重启计算机,安装更新
系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
手动安装补丁
另外,对于不能自动更新的系统版本,可参考以下链接下载适用于该系统的补丁并安装:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24071
05 参考资料
[1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24071
[2]https://nvd.nist.gov/vuln/detail/CVE-2025-24071