近日,科技新闻界曝出一起严重的网络安全事件。据bleepingcomputer报道,黑客利用Windows系统中的一个已知漏洞(CVE-2025-24054),在网络钓鱼活动中诱导用户泄露NTLM哈希值,进而实现身份认证绕过和权限提升。
据悉,该漏洞最早由微软在2025年3月的补丁更新中进行了修复。然而,令人担忧的是,修复发布后不久,Check Point安全研究人员便监测到针对该漏洞的攻击活动急剧增加,特别是在3月20日至25日期间,攻击频率达到了高峰。
NTLM(New Technology LAN Manager)作为微软的一种认证协议,原本设计用于避免明文密码传输。然而,随着技术的发展,NTLM的安全性已受到严重威胁,易受到重放攻击和暴力破解等手段的侵害。此次事件中,黑客正是利用了NTLM的这一弱点。
攻击者的手段相当狡猾。他们通过钓鱼邮件向用户发送包含恶意.library-ms文件的ZIP压缩包,这些文件伪装成来自Dropbox的链接。一旦用户解压文件,Windows Explorer便会自动与这些恶意文件交互,触发CVE-2025-24054漏洞。随后,用户的Windows系统会被强制连接到黑客控制的远程SMB服务器,并通过NTLM认证泄露用户的哈希值。
Check Point研究人员指出,他们已监测到多个由黑客控制的SMB服务器IP地址,其中包括159.196.128.120和194.127.179.157。微软也发出警告称,该漏洞的触发条件极为宽松,仅需用户进行最小的交互操作(如单击或右键查看文件)即可成功利用。
恶意压缩包内还包含诸如“xd.url”、“xd.website”和“xd.link”等文件,这些文件利用旧版NTLM哈希泄露漏洞作为备用手段,进一步增加了用户信息泄露的风险。尽管CVE-2025-24054漏洞在评估时仅被评为“中等”严重性,但其潜在的危害却不容忽视。
面对这一严峻形势,专家强烈建议所有组织立即安装2025年3月的Windows更新,以修复该漏洞。同时,禁用不必要的NTLM认证也是降低风险的有效措施。通过这些措施的实施,可以有效遏制黑客利用该漏洞进行攻击的行为,保护用户的信息安全。
此次事件再次提醒我们,网络安全形势日益严峻,用户和组织必须时刻保持警惕,加强安全防护措施,才能有效应对不断演变的网络威胁。
