⚡️SMB-атаки возвращаются — теперь с проводником Windows
⚡️SMB-атаки возвращаются — теперь с проводником Windows
💬Эксперты PT Expert Security Center (PT ESC) сообщили о первых попытках эксплуатации уязвимости CVE-2025-24071 , затрагивающей Windows 10 и Windows 11, включая серверные версии. Проблема заключается в механизме обработки файлов в проводнике Windows и системе индексирования, автоматически анализирующих файлы .library-ms при распаковке архива.
Вредоносный файл с расширением .library-ms может содержать ссылку на SMB-ресурс. После распаковки архива операционная система инициирует NTLM-аутентификацию на сервере злоумышленника без участия пользователя, что приводит к утечке NTLMv2-хеша учетной записи жертвы.
Уязвимость была подробно описана исследователем 0x6rss 18 марта. Позднее специалисты Broadcom сообщили, что уязвимость может эксплуатироваться при открытии писем с вложенными .library-ms файлами.
По данным PT ESC, зафиксированы атаки на организации в России и Беларуси. Вредоносные архивы содержат PDF-документ-приманку и файл .library-ms. При открытии PDF-файла жертва не подозревает, что в фоновом режиме происходит отправка хешей на сервер злоумышленников.
Ожидается рост атак с использованием CVE-2025-24071. Эксперты рекомендуют:
Ограничить выходящие SMB-соединения на внешние IP-адреса;
Установить мартовские обновления безопасности Windows;
Запретить запуск файлов с расширением .library-ms;
Блокировать получение таких файлов по электронной почте.