Lỗ Hổng CVE-2025-24071 Trong Windows File Explorer: Rủi Ro Rò Rỉ NTLM Hash

30/05/2025
2 mins read
Nội dung
Lỗ Hổng CVE-2025-24071 Trong Windows File Explorer: Rò Rỉ NTLM Hash Qua Lưu Trữ ZIP
Tổng Quan Về Lỗ Hổng
Phương Thức Khai Thác
Thuật Ngữ và Thành Phần Kỹ Thuật
Ví Dụ Thực Tế Về Khai Thác
Biện Pháp Khắc Phục

Lỗ Hổng CVE-2025-24071 Trong Windows File Explorer: Rò Rỉ NTLM Hash Qua Lưu Trữ ZIP

Một lỗ hổng nghiêm trọng vừa được công bố trong Windows File Explorer, được gán mã định danh CVE-2025-24071. Lỗ hổng này cho phép kẻ tấn công đánh cắp NTLM authentication hashes của người dùng mà không cần bất kỳ tương tác nào ngoài việc giải nén một tệp lưu trữ ZIP. Bài viết này sẽ cung cấp cái nhìn chi tiết về lỗ hổng, phương thức khai thác, các hệ thống bị ảnh hưởng và các biện pháp khắc phục cần thiết.

Tổng Quan Về Lỗ Hổng

  • CVE-2025-24071: Lỗ hổng trong Windows File Explorer cho phép kẻ tấn công thu thập NTLMv2 hash của người dùng thông qua việc giải nén một tệp ZIP hoặc RAR chứa tệp .library-ms được thiết kế đặc biệt.
  • Hệ Thống Bị Ảnh Hưởng: Các hệ điều hành Windows 10 và Windows 11 hỗ trợ tệp .library-ms và giao thức SMB, đã được xác nhận trên Windows 11 phiên bản 23H2.

Phương Thức Khai Thác

Lỗ hổng này được khai thác thông qua một tệp lưu trữ ZIP hoặc RAR chứa tệp .library-ms được tạo thủ công. Dưới đây là các bước chi tiết về cách lỗ hổng hoạt động:

  • Tệp ZIP/RAR Độc Hại: Khi nạn nhân giải nén một tệp lưu trữ chứa tệp .library-ms được thiết kế đặc biệt, Windows Explorer và dịch vụ SearchProtocolHost.exe sẽ tự động phân tích tệp để thu thập siêu dữ liệu (metadata).
  • Đường Dẫn SMB Từ Xa: Nếu tệp .library-ms tham chiếu đến một đường dẫn SMB từ xa do kẻ tấn công kiểm soát (ví dụ: \\attacker_ip\shared), Windows sẽ khởi tạo một kết nối xác thực SMB tới máy chủ đó.
  • Rò Rỉ NTLM Hash: Trong quá trình bắt tay xác thực SMB, NTLMv2 hash của nạn nhân sẽ được gửi đến máy chủ của kẻ tấn công. Hash này có thể bị chặn và tiến hành bẻ khóa offline.

Thuật Ngữ và Thành Phần Kỹ Thuật

  • NTLM Hash: Một biểu diễn mật mã của mật khẩu người dùng Windows, được sử dụng trong cơ chế xác thực challenge-response.
  • Tệp .library-ms: Một loại tệp dựa trên XML, được Windows sử dụng để định nghĩa các thư viện ảo (virtual libraries) hoặc tập hợp thư mục.
  • Giao Thức SMB: Giao thức chia sẻ file mạng được Windows sử dụng để truy cập file và máy in qua mạng.
  • Information Disclosure: Loại lỗ hổng này liên quan đến việc rò rỉ dữ liệu xác thực nhạy cảm.

Ví Dụ Thực Tế Về Khai Thác

Để khai thác lỗ hổng này, kẻ tấn công sẽ tạo một tệp lưu trữ ZIP hoặc RAR chứa tệp .library-ms được tùy chỉnh. Tệp này bao gồm markup XML định nghĩa vị trí thư viện trỏ đến một máy chủ SMB do kẻ tấn công kiểm soát. Khi nạn nhân giải nén tệp lưu trữ, Windows Explorer sẽ tự động khởi tạo yêu cầu xác thực SMB tới máy chủ của kẻ tấn công, trong quá trình đó làm rò rỉ NTLMv2 hash của người dùng.

Biện Pháp Khắc Phục

Để giảm thiểu rủi ro từ lỗ hổng này, người dùng và quản trị viên cần thực hiện các biện pháp sau:

  • Tránh mở hoặc giải nén các tệp lưu trữ ZIP hoặc RAR từ các nguồn không đáng tin cậy.
  • Đảm bảo rằng hệ điều hành và phần mềm được cập nhật với các bản vá bảo mật mới nhất từ Microsoft.

Lỗ hổng CVE-2025-24071 là một ví dụ điển hình về cách các tệp tưởng chừng vô hại như lưu trữ ZIP có thể bị lợi dụng để thực hiện các cuộc tấn công nghiêm trọng. Các tổ chức và cá nhân nên cảnh giác và áp dụng các biện pháp bảo mật phù hợp để bảo vệ hệ thống của mình.