官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
研究人员发现一个严重零点击NTLM(新技术局域网管理器)凭证泄露漏洞(CVE-2025-50154),该漏洞可绕过微软此前针对CVE-2025-24054发布的补丁。攻击者无需用户交互即可从已完全打补丁的Windows系统中提取NTLM哈希值,这表明微软四月份发布的安全更新并不完善。
核心要点
- CVE-2025-50154绕过微软最新补丁,实现零点击窃取NTLM凭证
- 可窃取认证哈希并静默下载恶意二进制文件
- 新版安全更新正在开发中
零点击NTLM哈希泄露漏洞技术分析
据Cymulate研究实验室披露,该漏洞通过利用Windows资源管理器处理桌面快捷方式的机制,找到了微软缓解策略中的细微漏洞。与微软已修补的CVE-2025-24054(原漏洞会阻止快捷方式基于UNC路径渲染图标)不同,新攻击向量针对的是.rsrc段中包含自有图标数据的远程二进制文件。
漏洞发现者Ruben Enkaoua演示:当恶意LNK文件将图标设置为默认shell32.dll且可执行路径指向远程SMB共享时,Windows资源管理器会自动下载完整二进制文件以提取RT_ICON和RT_GROUP_ICON头部的图标信息。此过程会在无需用户交互的情况下触发NTLM认证,导致NTLMv2-SSP哈希值泄露,这些哈希可被捕获用于离线暴力破解或NTLM中继攻击。
除凭证泄露外,攻击者还能在用户无感知的情况下将恶意二进制文件静默下载至目标系统。通过Wireshark进行网络流量分析发现,在图标提取过程中会传输完整的远程可执行文件,这为后续攻击建立了跳板。虽然这些二进制文件不会立即执行,但其存在于受害者系统将为后续恶意软件部署、凭证窃取或横向移动创造条件。
Sysinternals ProcMon等进程监控工具证实,系统会创建完整大小的文件,表明攻击载荷已完整传输。这种双重威胁能力使CVE-2025-50154尤为危险——单次零点击操作即可同时实现即时凭证泄露和隐蔽载荷投递。
微软响应与防护建议
在向微软安全响应中心(MSRC)进行负责任的披露后,该漏洞已获得官方确认并分配专属CVE编号。微软预计将发布完整的安全更新以彻底解决该绕过技术。
此次事件凸显出现代认证协议的复杂性及实施有效安全缓解措施的挑战。针对高权限账户的NTLM中继攻击可能导致权限提升、横向移动和企业网络内的远程代码执行。仅依赖微软此前补丁进行防护的组织仍面临该高级绕过技术的威胁。
这再次证明纵深防御策略和持续安全验证的极端重要性——即使对于供应商认为已完全修复的漏洞也不例外。建议企业立即采取以下措施:
- 监控微软官方补丁发布并及时应用更新
- 在网络边界禁用NTLM协议,强制使用Kerberos认证
- 部署网络流量监控工具检测异常SMB连接
- 对特权账户实施多因素认证机制
参考来源:
New Windows 0-Click NTLM Credential Leakage Vulnerability Bypasses Microsoft’s Patch
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)