CVE-2025-24071 olarak tanımlanan Microsoft Windows Dosya Gezgini’nde önemli bir güvenlik açığı keşfedilmiştir ve vahşi doğada aktif olarak sömürülmektedir.
Bu güvenlik açığı, saldırganların NTLM karmalarını yakalamasını sağlar, bu da potansiyel olarak ağ sahtekarlığı saldırılarına ve kimlik bilgisi hırsızlığına yol açar.
İstismar özel olarak hazırlanmış .library-ms RAR veya ZIP gibi sıkıştırılmış arşivlere gömülü dosyalar.
Bu dosyalar çıkarıldığında, Windows Explorer bunları otomatik olarak işler ve kullanıcı etkileşimi gerektirmeden saldırgan kontrollü bir SMB sunucusu ile bir NTLM kimlik doğrulama el sıkışma başlatır.
NTLM karma sızıntısının teknik açıklaması
. .library-ms Dosya biçimi XML tabanlıdır ve arama ve kütüphane konumlarını tanımlamak için Windows Explorer tarafından güvenilir.
Özel olarak hazırlandığında .library-ms KOBİ yolu içeren dosya sıkıştırılmış bir arşivden çıkarılır, Windows Explorer meta veri ve dizin dosya bilgilerini toplamak için bu yolu otomatik olarak çözmeye çalışır.
Bu eylem, kurbanın sisteminden saldırgan kontrollü SMB sunucusuna örtük bir NTLM kimlik doğrulaması el sıkışmasını tetikler ve kurbanın NTLMV2 karmasını açık kullanıcı etkileşimi olmadan sızdırır.
Güvenlik açığı, Windows Explorer’ın otomatik dosya işleme mekanizmasını kullanır, bu da kullanıcı hiçbir zaman çıkarılan dosyayı açık bir şekilde açmasa bile ortaya çıkar.
Sömürü ve hafifletme
Güvenlik açığı özellikle tehlikelidir, çünkü kullanıcının çıkarılan dosyayı açmasını veya yürütmesini gerektirmez; NTLM karma sızıntısını tetiklemek için arşivden çıkarmak yeterlidir.
Bu, hurma saldırıları veya çevrimdışı NTLM karma çatlaması yoluyla ağ güvenliğinden ödün vermek isteyen saldırganlar için güçlü bir araç haline getirir.
GitHub’da CVE-2025-24071 için bir konsept (POC) kanıtı yayınlandı ve saldırganların bir Python betiği kullanarak bu güvenlik açığını nasıl kullanabileceğini gösterdi.
Microsoft, bu güvenlik açığını Salı günü Mart 2025 yaması güncellemesinde ele aldı ve kullanıcılara Windows sistemlerinin sömürüyü önlemek için en son güvenlik yamalarıyla güncellenmelerini sağlamaları öneriliyor.
Buna ek olarak, güvenlik uzmanları, Mümkün olduğunda NTLM imzalamasını ve NTLM’yi devre dışı bırakma gibi NTLM rölesi saldırılarına karşı ek korumaların uygulanmasını önerir.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.