# 每日安全资讯 (2025-09-12)

今日未发现新的安全文章，以下是 AI 分析结果：

# AI 安全分析日报 (2025-09-12)

本文档包含 AI 对安全相关内容的自动化分析结果。[概览](https://blog.897010.xyz/c/today)


### CVE-2025-24071 - .library-ms NTLM哈希泄露

#### 📌 漏洞信息

| 属性 | 详情 |
|------|------|
| CVE编号 | CVE-2025-24071 |
| 风险等级 | `HIGH` |
| 利用状态 | `POC可用` |
| 发布时间 | 2025-09-11 00:00:00 |
| 最后更新 | 2025-09-11 17:17:39 |

#### 📦 相关仓库

- [CVE-2025-24054_CVE-2025-24071-PoC](https://github.com/yum1ra/CVE-2025-24054_CVE-2025-24071-PoC)

#### 💡 分析概述

该漏洞利用`.library-ms`文件触发NTLM哈希泄露。 仓库是一个PoC工具，用于演示该漏洞。 主要功能是生成恶意的`.library-ms`文件，当用户在Windows资源管理器中预览或打开该文件时，将触发SMB身份验证请求，从而导致NTLMv2哈希泄露。PoC易于部署和使用，包括生成恶意文件的Python脚本和设置攻击环境的说明。 通过分析readme文件、代码提交以及PoC工具的结构， 可以了解到该漏洞的关键利用点在于通过构造`.library-ms`文件中的UNC路径，诱使用户客户端连接到攻击者的SMB服务器，并泄露NTLM哈希值。 该漏洞利用方式简单，且影响范围广泛，因此具有较高的威胁价值。该PoC已经包含了生成payload的脚本，降低了利用门槛。

#### 🔍 关键发现

| 序号 | 发现内容 |
|------|----------|
| 1 | 漏洞利用通过.library-ms文件触发SMB身份验证，泄露NTLM哈希。 |
| 2 | PoC提供生成恶意.library-ms文件的工具，降低了利用门槛。 |
| 3 | 该漏洞影响未打补丁的Windows系统，补丁覆盖率较低。 |
| 4 | 攻击者可以利用泄露的NTLM哈希进行密码破解或中间人攻击。 |

#### 🛠️ 技术细节

> 漏洞原理是利用.library-ms文件中对UNC路径的解析，当资源管理器预览该文件时，会尝试连接到指定的SMB服务器，并进行NTLM身份验证。

> 利用方法包括：使用提供的Python脚本生成恶意的.library-ms文件，并将其发送给受害者。受害者预览或打开该文件后，攻击者通过监听SMB连接，捕获NTLM哈希。

> 修复方案：应用Microsoft官方的安全补丁。 缓解措施：禁用NTLM身份验证，教育用户避免打开来自不可信来源的.library-ms文件。


#### 🎯 受影响组件

```
• Windows操作系统，特别是未安装2025年3月补丁的Windows版本。
```

#### ⚡ 价值评估

<details>
<summary>展开查看详细评估</summary>

该漏洞利用难度较低，PoC已提供，影响范围广，泄露NTLM哈希可被用于后续的密码破解或横向移动，对未打补丁的系统具有较高威胁。
</details>

---