本站 4 月 18 日消息，科技媒體 bleepingcomputer 昨日（4 月 17 日）發布博文，報道稱已有證據表明，黑客利用 Windows 漏洞（CVE-2025-24054），在網絡釣魚活動中，通過 .library-ms 文件誘導用戶泄露 NTLM 哈希值，從而繞過身份認證和提升權限。

微軟已經在 2025 年 3 月的補丁星期二活動日中，修復了該漏洞，但修復發布后僅幾天，Check Point 研究人員便發現攻擊活動激增，尤其在 3 月 20 日至 25 日期間達到高峰。

本站注：NTLM（New Technology LAN Manager）是微軟的一種認證協議，通過哈希進行挑戰-響應協商，避免明文密碼傳輸。然而，NTLM 早已不安全，易受重放攻擊和暴力破解等威脅。

Check Point 觀察到，攻擊者通過釣魚郵件發送包含 Dropbox 鏈接的 ZIP 壓縮包，其中藏有惡意 .library-ms 文件。

一旦用戶解壓文件，Windows Explorer 會自動與其交互，觸發 CVE-2025-24054 漏洞，強制 Windows 連接到攻擊者控制的遠程 SMB 服務器，并通過 NTLM 認證泄露用戶哈希。后續攻擊甚至無需壓縮包，僅下載 .library-ms 文件即可觸發漏洞。

Check Point 指出，攻擊者控制的 SMB 服務器 IP 地址包括 159.196.128.120 和 194.127.179.157。微軟警告稱，該漏洞僅需最小的用戶交互（如單擊或右鍵查看文件）即可觸發。

此外，惡意壓縮包內還包含“xd.url”、“xd.website”和“xd.link”等文件，利用舊版 NTLM 哈希泄露漏洞作為備用手段，泄露 NTLM 哈希可能導致身份驗證繞過和權限提升。

盡管 CVE-2025-24054 僅被評為“中等”嚴重性，但其潛在后果極為嚴重。專家強烈建議，所有組織立即安裝 2025 年 3 月更新，并禁用不必要的 NTLM 認證，將風險降至最低。