SMB-атаки возвращаются — теперь с проводником Windows

Эксперты PT Expert Security Center (PT ESC) сообщили о первых попытках эксплуатации уязвимости CVE-2025-24071 , затрагивающей Windows 10 и Windows 11, включая серверные версии. Проблема заключается в механизме обработки файлов в проводнике Windows и системе индексирования, автоматически анализирующих файлы .library-ms при распаковке архива.

Вредоносный файл с расширением .library-ms может содержать ссылку на SMB-ресурс. После распаковки архива операционная система инициирует NTLM-аутентификацию на сервере злоумышленника без участия пользователя, что приводит к утечке NTLMv2-хеша учетной записи жертвы.

Уязвимость была подробно описана исследователем 0x6rss 18 марта. Позднее специалисты Broadcom сообщили, что уязвимость может эксплуатироваться при открытии писем с вложенными .library-ms файлами.

По данным PT ESC, зафиксированы атаки на организации в России и Беларуси. Вредоносные архивы содержат PDF-документ-приманку и файл .library-ms. При открытии PDF-файла жертва не подозревает, что в фоновом режиме происходит отправка хешей на сервер злоумышленников.

Ожидается рост атак с использованием CVE-2025-24071. Эксперты рекомендуют:

• Ограничить выходящие SMB-соединения на внешние IP-адреса;
• Установить мартовские обновления безопасности Windows;
• Запретить запуск файлов с расширением .library-ms;
• Блокировать получение таких файлов по электронной почте.