CVE-2025-24054 — 神龙十问 AI 深度分析摘要

🚨 **本质**：微软 NTLM 身份验证协议存在欺骗漏洞。<br>🔥 **后果**：攻击者可利用 `.library-ms` 文件触发 SMB 认证，**窃取 NTLMv2 Hash**，进而实施欺骗攻击。

🔍 **CWE-73**：外部控制文件路径。<br>📍 **缺陷点**：Windows 资源管理器在处理包含 UNC 路径的 `.library-ms` 文件时，未正确验证来源，导致自动发起认证请求。

🖥️ **受影响产品**：Microsoft Windows。<br>📦 **具体版本**：<br>- Windows 10 Version 1809 (32-bit & x64)<br>- Windows Server 2019<br>*(注：数据中提及 1507，但主要列表为 1809/Server 2019)*

💰 **黑客能力**：<br>- 获取 **NTLMv2 Hash**<br>- 执行 **欺骗攻击**<br>- 潜在横向移动或密码破解风险<br>*(CVSS 显示机密性 C:H，完整性/可用性无影响)*

⚠️ **门槛：中**。<br>- **网络**：远程 (AV:N)<br>- **复杂度**：低 (AC:L)<br>- **权限**：无需认证 (PR:N)<br>- **用户交互**：**需要** (UI:R) 👉 用户必须点击/预览恶意文件。

🔓 **有现成 Exp**。<br>GitHub 上已有多个 PoC (如 `xigney`, `helidem`, `Yuri08loveElaina`)。<br>📝 **原理**：发送 `.library-ms` 文件 + 监听器 (如 Responder) 捕获 Hash。

🔎 **自查方法**：<br>1. 检查系统是否为 **Win 10 1809** 或 **Server 2019**。<br>2. 监控 SMB 认证日志，看是否有异常的 `.library-ms` 触发的 NTLMv2 请求。<br>3. 扫描网络中是否存在恶意 `.library-ms` 文件。

🛡️ **官方修复**：<br>✅ 微软已发布补丁 (参考 2025年3月 Patch Tuesday)。<br>🔗 链接：[MSRC 公告](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24054)<br>👉 **立即更新系统！**

🚧 **临时规避**：<br>1. **禁用 SMB 签名** (不推荐，风险高)。<br>2. 限制 `.library-ms` 文件的打开权限。<br>3. 部署网络监控，拦截可疑的 NTLMv2 认证请求。<br>4. 用户教育：**不要打开来源不明的库文件**。

🔥 **优先级：高**。<br>虽然需要用户交互，但 PoC 已公开，利用门槛低。<br>💡 **建议**：立即打补丁！未打补丁的系统面临 Hash 泄露风险，可能被用于后续攻击。