Чем опасна CVE-2025-24071
Недавно исследователи в области кибербезопасности выявили и подтвердили активную эксплуатацию уязвимости CVE-2025-24071. Эта уязвимость позволяет атакующим получать хеши паролей Windows (NetNTLMv2) с помощью специально созданных файлов .library-ms. Даже простое распаковка архива с таким файлом в Windows Explorer может привести к утечке учетных данных.
Хотя Microsoft утверждает, что риск массовой эксплуатации невысок, уже есть доказательства использования этой уязвимости в целевых атаках и фишинговых кампаниях. Понимание механизма и потенциальной угрозы крайне важно как для технических специалистов, так и для всех, кто работает с корпоративными или личными данными.
Откуда берется уязвимость
Чтобы понять суть уязвимости, рассмотрим, что такое файлы с расширением .library-ms. Это обычные XML-документы, используемые Windows для формирования библиотек — виртуальных коллекций папок, отображаемых в проводнике. Эти файлы могут включать ссылки на локальные или сетевые ресурсы через тег . Именно эта возможность и стала уязвимым звеном.
Уязвимость возникает при обработке этих файлов Windows Explorer и службой индексирования SearchProtocolHost. Доверяя содержимому файла, система автоматически инициирует SMB-подключение к указанному в ресурсу. Если этот ресурс контролирует злоумышленник, он может перехватить учетные данные в виде хешей NetNTLMv2.
Как выявить и предотвратить
Детектирование активности
При распаковке архивов с уязвимыми файлами в системе генерируются характерные события:
Эти сигнатуры позволяют настроить правила детектирования на уровне EDR/антивируса и SIEM-систем. Например, правило на языке Lucene для выявления создания .library-ms-файлов:
dev_os_type:"windows" AND
event_type:(FileCreate OR FileCreateWin OR FileInfo OR FileInfoWin) AND file_name.keyword:/.*\.library-ms/
- Создание файла с расширением .library-ms процессом Explorer.
- Обращения к SMB-ресурсу с помощью процесса rundll32.exe, который вызывает функцию DavSetCookie в библиотеке davclnt.dll.
- Создание канала связи с именем \\.\pipe\dav rpc service.
Почему это важно для каждого?
VE-2025-24071 наглядно показывает, как простые и, казалось бы, безобидные действия пользователя — например, распаковка архива — могут привести к серьезной утечке данных. В условиях современных киберугроз это становится особенно актуально для компаний и частных пользователей.
Рекомендуем внимательно отнестись к настройке политики безопасности, обновлению систем и мониторингу активности. Это — надежный фундамент, чтобы защитить корпоративные и личные данные от скрытых угроз, которые уже используются злоумышленниками в реальных атаках.
Будьте внимательны к деталям — ведь именно в них скрываются ключевые уязвимости.
Ключевой момент: никакого активного взаимодействия со стороны пользователя не требуется. Открытие архива или даже просто копирование файла .library-ms в систему может запустить цепочку событий, ведущих к компрометации.
Ограничьте исходящие SMB-соединения с внешними серверами.
Внедрите политику Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers со значением Deny All.
Обновите Windows до последней версии, включая мартовские обновления.
Запретите запуск и получение по почте файлов с расширением .library-ms.
Контролируйте использование встроенных архиваторов (по умолчанию это проводник Windows) в вашей корпоративной среде.
Разбор уязвимости CVE-2025-24071. Почему это важно и как защититься.
Чем опасна CVE-2025-24071
Откуда берется уязвимость
Как выявить и предотвратить
Рекомендации в виде карточек