关于CVE-2025-24054漏洞在野利用事件的技术分析与防御建议

一、事件概述

近期，我司办公室内发生多起针对高层领导的定向网络攻击事件。攻击者通过仿冒领导微信身份，向亲友及工作群大量发送营销与钓鱼链接，造成严重的社会工程学攻击影响。经溯源分析，此次攻击为CVE-2025-24054漏洞的在野利用，该漏洞已于微软2025年3月补丁日（3月11日）修复。攻击核心特征为：仅需用户执行右键点击、拖放文件或浏览含恶意文件的文件夹等低交互操作即可触发漏洞，无需打开文件或执行程序，与2024年11月修补的CVE-2024-43451漏洞存在高度相似性，疑似其变种。

二、漏洞技术分析

1. CVE-2025-24054漏洞机制
   此漏洞属于NTLM哈希泄露欺骗漏洞，影响Windows 10/11系统。攻击者通过钓鱼邮件发送包含恶意.library-ms文件的ZIP压缩包（伪装为Dropbox链接），用户解压后，Windows资源管理器自动与文件交互，强制系统连接至攻击者控制的SMB服务器（如IP 159.196.128.120、194.127.179.157），泄露NTLMv2哈希值。获取哈希后，攻击者可绕过身份认证、提升权限，甚至横向渗透内网。

2. 与CVE-2024-43451的关联性
   CVE-2024-43451同样是利用NTLM协议缺陷的漏洞，通过恶意URL文件触发（如右键点击或删除文件），窃取哈希并传递攻击。两者的共性包括：

   • 低交互触发：无需打开文件，仅需基本操作即可激活攻击链；
   • NTLM协议依赖：利用协议固有缺陷，窃取哈希后发起身份伪造；
   • 钓鱼载体多样化：CVE-2024-43451使用URL文件，而CVE-2025-24054采用.library-ms文件，均通过ZIP压缩包传播。

三、攻击链还原

1. 初始渗透
   攻击者通过微信（仿冒领导或企业内部通知）诱导用户下载含恶意文件的ZIP压缩包，文件中包含.library-ms及备用触发文件（如xd.url、xd.link）。

2. 漏洞触发与数据泄露
   用户解压文件后，Windows资源管理器自动解析.library-ms文件，触发漏洞并强制连接至攻击者服务器，泄露NTLMv2哈希。攻击者利用哈希发起“传递哈希”（Pass-the-Hash）攻击，获取系统控制权。

3. 横向移动与持久化
   通过窃取的权限，攻击者可植入SparkRAT等恶意软件，控制受害主机并进一步渗透内网。部分攻击样本甚至通过修改注册表实现持久化驻留。

四、防御响应与暴露面分析

1. 本部门防御措施
   所有受控Windows设备已于2025年3月补丁发布后第一时间完成更新，未受此次攻击影响。补丁通过修复资源管理器对.library-ms文件的解析逻辑，阻断了漏洞触发路径。

2. 未受控设备风险
   办公室内部分领导使用的设备因长期关闭系统自动更新，未能安装关键补丁，成为主要攻击入口。此类设备普遍存在以下问题：

   • 补丁滞后：未部署2025年3月及后续安全更新；
   • NTLM协议未禁用：未遵循微软建议禁用老旧协议以降低风险；
   • 安全意识薄弱：自行维护设备缺乏定期安全检查机制。

五、后续防护建议

1. 技术层面

   • 强制补丁管理：通过域控策略强制执行系统更新，禁用用户关闭更新的权限；
   • 禁用NTLM协议：在组策略中限制或禁用NTLM认证，优先使用Kerberos协议；
   • 网络层防御：监控并阻断与已知恶意IP（如159.196.128.120）的SMB通信，启用SMB签名功能。

2. 管理层面

   • 特权账户隔离：限制高管设备直接访问敏感系统的权限，实施零信任网络分段；
   • 安全意识培训：针对高管及员工开展钓鱼信息识别、文件操作风险等专项培训；
   • 应急响应预案：建立哈希泄露事件响应流程，包括紧急隔离设备、重置凭据等。

3. 长期加固

   • 启用EDR解决方案：部署端点检测与响应工具，实时监控异常文件交互行为；
   • 定期漏洞扫描：结合微软安全公告（如CVE-2024-43451、CVE-2025-24054），对内网设备进行周期性漏洞评估。

六、总结

此次事件暴露出混合办公环境下终端设备管理的脆弱性，尤其是高管设备的“特权盲区”。未来需通过技术强制与管理规范双管齐下，构建覆盖全终端的纵深防御体系。建议参考微软11月补丁星期二的多漏洞修复经验，将漏洞响应纳入常态化安全运维，以应对日益复杂的APT攻击。