Новости компьютерной безопасности:

  Latest News

Microsoft Windows File Explorer Vulnerability Let Attackers Perform Network Spoofing – PoC Released

С сайта: Vulnerability(cybersecuritynews.com)

Microsoft Windows File Explorer Vulnerability Let Attackers Perform Network Spoofing – PoC Released

Author: Guru Baran

A critical vulnerability in Windows File Explorer, identified as CVE-2025-24071, enables attackers to steal NTLM hashed passwords without any user interaction beyond simply extracting a compressed file. 

Security researchers have released a proof-of-concept exploit demonstrating this high-severity flaw, which Microsoft patched in its March 2025 updates.

Microsoft Windows File Explorer Vulnerability
The vulnerability, dubbed “NTLM Hash Leak via RAR/ZIP Extraction,” exploits Windows Explorer’s automatic file processing mechanism. 

When a specially crafted .library-ms file containing a malicious SMB path is extracted from a compressed archive, Windows Explorer automatically parses its contents to generate previews and index metadata.

This automatic processing occurs even if the user never explicitly opens the extracted file. 

The .library-ms file format, which is XML-based and trusted by Windows Explorer to define library locations, includes a tag that points to an attacker-controlled SMB server, said security researcher with alias “0x6rss”.


Upon extraction, Windows Explorer attempts to resolve the embedded SMB path (e.g., \\192.168.1.116\shared) automatically to gather metadata. 

This action triggers an NTLM authentication handshake from the victim’s system to the attacker’s server, leaking the victim’s NTLMv2 hash without any user interaction.

Using process monitoring tools, researchers observed that immediately after extraction, both Explorer.exe and SearchProtocolHost.exe (part of Windows’ indexing service) automatically perform several operations on the .library-ms file:

  • CreateFile: Opening the file automatically
  • ReadFile: Reading the file contents
  • QueryBasicInformationFile: Extracting metadata
  • CloseFile: Closing the file after processing

Wireshark captures confirm that these actions immediately trigger SMB communication attempts, including an NTLM authentication handshake.

Risk Factors Details Affected ProductsMicrosoft Windows (specifically Windows File Explorer)Impact-Leaks victim’s NTLMv2-Credential theft for pass-the-hash attacks-Potential offline NTLM hash cracking-Creates spoofing vulnerability Exploit Prerequisites-User must extract a specially crafted .library-ms file-Attacker needs to set up an SMB server to receive authentication requestCVSS 3.1 Score7.5 (Important )
PoC Exploitation
The vulnerability allows for exposure of sensitive information to unauthorized actors, enabling network spoofing attacks.

A security researcher with the handle 0x6rss published a proof-of-concept exploit on GitHub on March 16, 2025.The PoC includes a Python script that generates the malicious .library-ms file and can be used with a simple command: python poc.py

Evidence suggests this vulnerability may have been sold and exploited in the wild before its public disclosure. 

A threat actor known as “Krypt0n,” reportedly the developer of malware called “EncryptHub Stealer,” allegedly offered the exploit for sale on underground forums.

cyber security newsThreat Actor’s post
According to translated forum posts, the attacker explained: “The server where the hashes are sent is created locally, for example, on a VPS. 

Then, using an exploit, you generate a config with your IP, share, etc. […] If the user simply opens Explorer or accesses the shared folder, an automatic redirect occurs, and the user’s hash is sent to your server.”

Mitigation
Microsoft addressed this vulnerability with the release of its March 2025 Patch Tuesday updates on March 11.

All Windows users are strongly advised to apply these security updates immediately. This vulnerability adds to a growing list of NTLM-related flaws in Microsoft products, with researchers previously identifying similar credential-leaking issues in Microsoft Access, Publisher, and other applications.

Security experts recommend keeping all Microsoft products updated and implementing additional protections against NTLM relay attacks, such as enabling SMB signing and disabling NTLM where possible.



#Cyber_Security #Cyber_Security_News #Microsoft #Vulnerability #Windows #cyber_security #cyber_security_news #vulnerability

Оригинальная версия на сайте: Microsoft Windows File Explorer Vulnerability Let Attackers Perform Network Spoofing – PoC Released
Вернуться к списку новостей К свежим новостям Здесь был google AdSense.
Вместо рекламы товаров началась политическая агитация.
Отключено до получения извинений.

Вернуться к списку новостей Здесь был google AdSense.
Вместо рекламы товаров началась политическая агитация.
Отключено до получения извинений.


Новости проекта CSN:

✉ CSN.net4me.net

Обновление сайта csn.net4me.net

Обновление сайта csn.net4me.net 💻
cyber security news
  • Физически мы переехали на новый сервер. Благодарим наших подписчиков и постоянных читателей за терпение и понимание.
  • Сайт csn.net4me.net полностью адаптирован для работы по шифрованному SSL соединению.
  • Изменен механизм обработки и отображения опасных и критических уязвимостей.

Благодарим что вы с нами.


#CSN_обновление_сайта
https://csn.net4me.net/cyber_security_8301.html

Дополнительный материал

О проекте CSN

Проект CSN.net4me.net родился 16 Марта 2018 года.
Проект находится в самом начале своего развития. Конечно оформление, наполнение будет меняться. Одно останется неизменным - самые свежие новости компьютерной и сетевой безопасности.

О проекте net4me

Проект net4me.net развивался как сборник готовых решений и документации по темам компьютерной безопасности, сетевых решений и СПО (в часности linux). Темпы развития IT отрасли оказались столь быстрыми, что некоторые знания, технологии и информация о них устаревали мгновенно. Тем не менее, некоторый материал net4me.net до сих пор востребован.

Об источниках

Новости берутся CSN из открытых и доступных каждому источников. Авторы проекта стараются подбирать авторитетные и проверенные источники. Но, тем не менее, не несут ответственности за содержимое новостей. В каждой новости указывается источник этой новости, её автор и ссылка на оригинал новости.

Информация

Если вы желаете чтобы новости вашего ресурса были размещены на сайте CSN, то свяжитесь с авторами проекта csn@net4me.net и предложите ссылку на rss или xml ленту новостей вашего ресурса. Любая предложенная информация будет рассмотрена редакцией.