近期，黑客利用已修复的Windows漏洞CVE-2025-24054，通过恶意.library-ms文件进行钓鱼攻击，诱导用户泄露NTLM哈希值。攻击者通过伪装成Dropbox链接的ZIP压缩包传播恶意文件，用户解压后，Windows Explorer会自动与其交互，触发漏洞，导致用户凭证被盗。尽管微软已修复该漏洞，但攻击活动在修复后迅速激增。专家建议立即安装补丁，并禁用不必要的NTLM认证，以降低安全风险。

💻 攻击者利用Windows漏洞CVE-2025-24054，通过.library-ms文件进行钓鱼攻击，诱导用户泄露NTLM哈希值，绕过身份认证和提升权限。

📩 攻击通过钓鱼邮件传播，邮件中包含指向Dropbox链接的ZIP压缩包，内含恶意.library-ms文件。用户解压文件后，Windows Explorer会自动与其交互，触发漏洞。

🛡️ 微软在2025年3月补丁星期二活动日修复了该漏洞，但修复后攻击活动迅速激增，尤其在3月20日至25日期间达到高峰。

⚠️ 恶意压缩包内还包含“xd.url”、“xd.website”和“xd.link”等文件，利用旧版 NTLM 哈希泄露漏洞作为备用手段，泄露 NTLM 哈希可能导致身份验证绕过和权限提升。

💡 专家建议立即安装2025年3月更新，并禁用不必要的NTLM认证，以降低风险。即使CVE-2025-24054 仅被评为“中等”严重性，其潜在后果也极为严重。

IT之家 4 月 18 日消息，科技媒体 bleepingcomputer 昨日（4 月 17 日）发布博文，报道称已有证据表明，黑客利用 Windows 漏洞（CVE-2025-24054），在网络钓鱼活动中，通过 .library-ms 文件诱导用户泄露 NTLM 哈希值，从而绕过身份认证和提升权限。

微软已经在 2025 年 3 月的补丁星期二活动日中，修复了该漏洞，但修复发布后仅几天，Check Point 研究人员便发现攻击活动激增，尤其在 3 月 20 日至 25 日期间达到高峰。

IT之家注：NTLM（New Technology LAN Manager）是微软的一种认证协议，通过哈希进行挑战-响应协商，避免明文密码传输。然而，NTLM 早已不安全，易受重放攻击和暴力破解等威胁。

Check Point 观察到，攻击者通过钓鱼邮件发送包含 Dropbox 链接的 ZIP 压缩包，其中藏有恶意 .library-ms 文件。

一旦用户解压文件，Windows Explorer 会自动与其交互，触发 CVE-2025-24054 漏洞，强制 Windows 连接到攻击者控制的远程 SMB 服务器，并通过 NTLM 认证泄露用户哈希。后续攻击甚至无需压缩包，仅下载 .library-ms 文件即可触发漏洞。

Check Point 指出，攻击者控制的 SMB 服务器 IP 地址包括 159.196.128.120 和 194.127.179.157。微软警告称，该漏洞仅需最小的用户交互（如单击或右键查看文件）即可触发。

此外，恶意压缩包内还包含“xd.url”、“xd.website”和“xd.link”等文件，利用旧版 NTLM 哈希泄露漏洞作为备用手段，泄露 NTLM 哈希可能导致身份验证绕过和权限提升。

尽管 CVE-2025-24054 仅被评为“中等”严重性，但其潜在后果极为严重。专家强烈建议，所有组织立即安装 2025 年 3 月更新，并禁用不必要的 NTLM 认证，将风险降至最低。