CVE-2025-24071 olarak tanımlanan Windows Dosyası Gezgini’nde kritik bir güvenlik açığı, saldırganların sıkıştırılmış bir dosyayı çıkarmanın ötesinde herhangi bir kullanıcı etkileşimi olmadan NTLM karma şifreleri çalmasını sağlar.
Güvenlik araştırmacıları, Microsoft’un Mart 2025 güncellemelerinde yamaladığı bu yüksek şiddetli kusuru gösteren bir kavram kanıtı yayınladılar.
Microsoft Windows Dosya Gezgini Güvenlik Açığı
“RAR/ZIP Çıkarma yoluyla NTLM karma sızıntısı” olarak adlandırılan güvenlik açığı, Windows Gezgini’nin otomatik dosya işleme mekanizmasını kullanıyor.
Sıkıştırılmış bir arşivden kötü niyetli bir SMB yolu içeren özel olarak hazırlanmış bir .library-MS dosyası çıkarıldığında, Windows Explorer önizleme ve dizin meta verileri oluşturmak için içeriğini otomatik olarak ayrıştırır.
Bu otomatik işlem, kullanıcı hiçbir zaman çıkarılan dosyayı açık bir şekilde açmasa bile gerçekleşir.
XML tabanlı ve Windows Explorer tarafından kütüphane konumlarını tanımlamak için güvenilen .library-MS dosya biçimi, bir
Ekstraksiyon üzerine Windows Gezgini, meta verileri toplamak için gömülü KOBİ yolunu otomatik olarak otomatik olarak çözmeye çalışır (örneğin \\ 192.168.1.116 \ Shared).
Bu eylem, kurbanın sisteminden saldırganın sunucusuna bir NTLM kimlik doğrulama el sıkışmasını tetikler ve kurbanın NTLMV2 karmasını herhangi bir kullanıcı etkileşimi olmadan sızdırır.
Proses izleme araçlarını kullanan araştırmacılar, ekstraksiyondan hemen sonra, hem explorer.exe hem de searchprotocolhost.exe’nin (Windows ‘indexing hizmetinin bir parçası) .library-ms dosyasında otomatik olarak birkaç işlem gerçekleştirdiğini gözlemledi:
- CreateFile: Dosyayı otomatik olarak açma
- Readfile: Dosya İçeriğini Okumak
- QueryBasicInformationFile: Meta verilerin çıkarılması
- Closefile: İşlemden sonra dosyayı kapatma
Wireshark yakalar, bu eylemlerin bir NTLM kimlik doğrulama el sıkışma da dahil olmak üzere KOBİ iletişim girişimlerini hemen tetiklediğini doğrular.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Microsoft Windows (özellikle Windows File Explorer) |
| Darbe | -Leaks kurbanın ntlmv2-hurma saldırıları için krediye hırsızlığı, potansiyel çevrimdışı ntlm karma çatlak kurma kırılganlık kırılganlığı |
| Önkoşuldan istismar | -User özel olarak hazırlanmış bir .library-ms dosya-saldırganı, kimlik doğrulama isteği almak için bir SMB sunucusu kurması gerekir |
| CVSS 3.1 puanı | 7.5 (önemli) |
POC Sömürü
Güvenlik açığı, hassas bilgilerin yetkisiz aktörlere maruz kalmasına izin vererek ağ sahtekarlık saldırılarını sağlıyor.
0x6RSS Handalı bir güvenlik araştırmacısı, 16 Mart 2025’te GitHub’da bir kavram kanıtı yayınladı.
Kanıtlar, bu güvenlik açığının kamuya açıklanmadan önce vahşi doğada satılmış ve sömürülmüş olabileceğini göstermektedir.
“Kript0n” olarak bilinen bir tehdit aktörü olan “EncryPthub Stealer” adlı kötü amaçlı yazılım geliştiricisinin yeraltı forumlarında satılık istismar teklif ettiği iddia edildiği bildirildi.
Çeviri forum yayınlarına göre, saldırgan şöyle açıkladı: “Hashes’in gönderildiği sunucu, örneğin bir VPS’de yerel olarak oluşturulur.
Ardından, bir istismar kullanarak, IP, paylaşım vb. İle bir yapılandırma oluşturursunuz. […] Kullanıcı sadece Explorer’ı açarsa veya paylaşılan klasöre erişirse, otomatik bir yönlendirme oluşur ve kullanıcının karması sunucunuza gönderilir. ”
Azaltma
Microsoft, bu güvenlik açığını 11 Mart’ta Salı günkü güncellemelerinin piyasaya sürülmesiyle ele aldı.
Tüm Windows kullanıcılarına bu güvenlik güncellemelerini derhal uygulamaları şiddetle tavsiye edilir. Bu güvenlik açığı, Microsoft ürünlerinde NTLM ile ilgili kusurların büyüyen bir listesine katkıda bulunur ve araştırmacılar daha önce Microsoft Access, Publisher ve diğer uygulamalarda benzer kimlik bilgisi sorunları tanımlar.
Güvenlik uzmanları, tüm Microsoft ürünlerini güncel tutmasını ve NTLM röle saldırılarına karşı SMB imzalamasını ve mümkün olduğunca NTLM’yi devre dışı bırakma gibi ek korumalar uygulamasını önerir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free