CVE-2025-24071 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Windows 资源管理器在解压包含恶意 `.library-ms` 文件的压缩包时，会自动发起 SMB 认证请求。 💥 **后果**：导致用户 **NTLM Hash 泄露**，攻击者可离线破解或进行 Pass-the-Hash 攻击。

🔍 **CWE-200**：信息泄露。 🐛 **缺陷点**：资源管理器在处理 `.library-ms` 文件时，**未充分验证来源**，自动向配置中的远程服务器发起身份验证。

🖥️ **受影响组件**：Microsoft Windows File Explorer。 📦 **具体版本**： - Windows 10 Version 1809 (32-bit & x64) - Windows Server 2019 - Windows Server (其他版本) ⚠️ 注意：数据中 vendor 提及 Windows 10 1507，但描述主要指向 1809 及 Server 2019。

🕵️ **黑客能力**： 1. 获取目标用户的 **NTLM Hash**。 2. 无需执行代码，仅需用户**解压**文件。 3. 利用 Hash 进行横向移动或权限提升。

📉 **门槛极低**。 - **无需认证** (PR:N)。 - **无需用户交互** (UI:R 指需要用户操作，但仅需“解压”这一简单动作，非点击运行)。 - **远程利用** (AV:N)。 - **攻击复杂度低** (AC:L)。

🔥 **有现成 Exp/PoC**。 - GitHub 上已有多个 PoC (如 `0x6rss/CVE-2025-24071_PoC`)。 - 已有 **Metasploit 模块** (由 FOLKS-iwd 开发)。 - 支持生成恶意 ZIP/RAR 文件，配合 Responder 即可捕获 Hash。

🔎 **自查方法**： 1. 检查系统是否为 **Win10 1809** 或 **Server 2019**。 2. 监控 SMB 流量，查看是否有异常的 `.library-ms` 或 `.searchconnector-ms` 触发的认证请求。 3. 扫描内网是否存在针对此 CVE 的 Metasploit 模块利用尝试。

🛡️ **官方状态**： - 微软已发布安全更新指南 (MSRC)。 - 建议立即访问 [MSRC 页面](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24071) 获取最新补丁状态。

🚧 **临时规避**： 1. **禁用自动播放/自动处理**：限制资源管理器对 `.library-ms` 文件的自动行为。 2. **网络隔离**：防止内网主机访问不可信的 SMB 共享。 3. **用户教育**：警告用户不要解压来源不明的 ZIP/RAR 压缩包。

⚡ **优先级：高**。 - CVSS 评分高 (C:H)。 - **利用极其简单**（只需解压）。 - **已有自动化攻击工具**。 - 建议立即打补丁或实施网络层缓解措施。