近日,科技新聞界曝出一起嚴重的網絡安全事件。據bleepingcomputer報道,黑客利用Windows系統中的一個已知漏洞(CVE-2025-24054),在網絡釣魚活動中誘導用戶泄露NTLM哈希值,進而實現身份認證繞過和權限提升。
據悉,該漏洞最早由微軟在2025年3月的補丁更新中進行了修復。然而,令人擔憂的是,修復發布后不久,Check Point安全研究人員便監測到針對該漏洞的攻擊活動急劇增加,特別是在3月20日至25日期間,攻擊頻率達到了高峰。
NTLM(New Technology LAN Manager)作為微軟的一種認證協議,原本設計用于避免明文密碼傳輸。然而,隨著技術的發展,NTLM的安全性已受到嚴重威脅,易受到重放攻擊和暴力破解等手段的侵害。此次事件中,黑客正是利用了NTLM的這一弱點。
攻擊者的手段相當狡猾。他們通過釣魚郵件向用戶發送包含惡意.library-ms文件的ZIP壓縮包,這些文件偽裝成來自Dropbox的鏈接。一旦用戶解壓文件,Windows Explorer便會自動與這些惡意文件交互,觸發CVE-2025-24054漏洞。隨后,用戶的Windows系統會被強制連接到黑客控制的遠程SMB服務器,并通過NTLM認證泄露用戶的哈希值。
Check Point研究人員指出,他們已監測到多個由黑客控制的SMB服務器IP地址,其中包括159.196.128.120和194.127.179.157。微軟也發出警告稱,該漏洞的觸發條件極為寬松,僅需用戶進行最小的交互操作(如單擊或右鍵查看文件)即可成功利用。
惡意壓縮包內還包含諸如“xd.url”、“xd.website”和“xd.link”等文件,這些文件利用舊版NTLM哈希泄露漏洞作為備用手段,進一步增加了用戶信息泄露的風險。盡管CVE-2025-24054漏洞在評估時僅被評為“中等”嚴重性,但其潛在的危害卻不容忽視。
面對這一嚴峻形勢,專家強烈建議所有組織立即安裝2025年3月的Windows更新,以修復該漏洞。同時,禁用不必要的NTLM認證也是降低風險的有效措施。通過這些措施的實施,可以有效遏制黑客利用該漏洞進行攻擊的行為,保護用戶的信息安全。
此次事件再次提醒我們,網絡安全形勢日益嚴峻,用戶和組織必須時刻保持警惕,加強安全防護措施,才能有效應對不斷演變的網絡威脅。
