Falha no Windows Explorer permite que arquivos .library-ms provoquem autenticação SMB para servidores controlados por atacantes e entreguem respostas NTLMV2-SSp capturáveis para quebra offline ou relay.
| Componente | Windows Explorer processando arquivos .library-ms maliciosos e fluxos de autenticação NTLM sobre SMB. |
| Vetor | Arquivo .library-ms entregue por ZIP, arquivo solto ou link de phishing; a exploração é acionada ao extrair, selecionar, inspecionar, arrastar, clicar com o botão direito ou navegar até a pasta que contém o arquivo. |
| Impacto | Exposição de resposta NTLMV2-SSp para servidor SMB remoto, com risco de quebra offline da senha ou relay NTLM; escalonamento e movimentação lateral dependem de privilégios da conta e ausência de proteções como assinatura SMB e controles contra relay. |
| Prioridade | Aplicar a atualização de segurança publicada em 11 de março de 2025, reduzir uso de NTLM, bloquear autenticação SMB não autorizada para destinos externos e revisar eventos de autenticação para servidores SMB desconhecidos. |
| Versões | A exploração foi descrita como aplicável às versões recentes do Windows afetadas antes da correção. |
| Artefatos | Arquivos .library-ms, .url, .website, .lnk, arquivo xd.zip distribuído por Dropbox e caminhos UNC usados para iniciar conexões SMB. |
| IoCs | Servidores SMB citados no contexto: 194.127.179[.]157 e 159.196.128[.]120; campanhas também usaram servidores na Rússia, Bulgária, Países Baixos, Austrália e Turquia. |
CVE-2025-24054 é uma vulnerabilidade de divulgação de hash NTLM por spoofing associada ao tratamento de arquivos .library-ms pelo Windows Explorer. A falha permite que um arquivo especialmente construído faça o cliente Windows iniciar uma autenticação SMB contra um servidor remoto controlado pelo atacante. Durante esse fluxo, o cliente envia uma resposta NTLMV2-SSp, também descrita como resposta Net-NTLMv2, sem transmitir a senha em texto claro, mas ainda entregando material suficiente para ataques subsequentes contra a autenticação. A correção foi disponibilizada em 11 de março de 2025, e a exploração ativa foi observada oito dias depois, com campanhas de malspam em menos de duas semanas.
O ponto crítico da falha não é a execução direta de um binário, mas a ativação de um comportamento automático do Explorer diante de artefatos que referenciam recursos remotos. Em relatos iniciais, a exploração parecia ocorrer apenas quando o usuário extraía um ZIP com um .library-ms malicioso. A documentação de correção indicou uma superfície mais ampla: interações mínimas, como selecionar o arquivo, abrir o menu de contexto, arrastar e soltar, inspecionar ou simplesmente navegar até a pasta que contém o item, podem ser suficientes para acionar a tentativa de autenticação. Isso reduz a barreira operacional para o atacante, porque o usuário não precisa abrir explicitamente o arquivo nem executar um programa.
A exposição da resposta NTLMv2 não equivale automaticamente a comprometimento total do domínio. O impacto depende da conta envolvida, da força da senha, da possibilidade de relay contra serviços internos e da presença de proteções como assinatura SMB e mitigação de relay NTLM. Ainda assim, quando a resposta pertence a usuário privilegiado e o ambiente aceita autenticação NTLM em serviços sensíveis, o material capturado pode ser explorado para quebra offline ou relay, ampliando o risco de escalonamento de privilégio e movimentação lateral.
NTLM funciona por um mecanismo de desafio e resposta. O servidor envia um desafio, e o cliente prova conhecimento do segredo sem enviar a senha original. Em NTLMv2, a resposta incorpora desafio do servidor e desafio do cliente, o que torna ataques com tabelas pré-computadas muito menos efetivos do que em NTLMv1. A proteção, porém, não elimina o valor ofensivo de uma resposta capturada. Um atacante que recebe a resposta NTLMV2-SSp pode tentar quebrá-la offline por força bruta ou encaminhá-la em um ataque de relay para outro serviço que aceite a autenticação, principalmente quando controles de assinatura e vinculação não estão aplicados.
Na cadeia observada para CVE-2025-24054, o atacante prepara um arquivo .library-ms com referência capaz de provocar acesso SMB a um servidor remoto. Quando o Explorer processa o item no contexto do usuário, o Windows inicia uma requisição SMB para o destino definido pelo arquivo. No fluxo SMB, a mensagem NTLMSSP_AUTH carrega a resposta NTLMv2 do usuário. O servidor malicioso registra esse valor, que passa a ser o principal artefato de exploração. O material analisado mostra tráfego em que a resposta é enviada para 194.127.179[.]157 e também descreve um ZIP chamado xd.zip, obtido por link de Dropbox, contendo quatro arquivos que contatavam 159.196.128[.]120.
A campanha descrita em torno de 20 e 21 de março de 2025 usou phishing por e-mail para entregar links de download. O alvo citado inclui governos e instituições privadas da Polônia e da Romênia. Depois que a vítima baixava e extraía o arquivo, o Explorer processava os itens e iniciava a conexão SMB que expunha a resposta NTLMv2. Também houve campanha posterior, em 25 de março de 2025, com distribuição de arquivos sem encapsulamento em ZIP, reforçando que a extração era apenas uma das formas de acionar o comportamento vulnerável, não a única condição técnica.
O material distribuído não se limitava a .library-ms. O contexto também descreve uso de .url, .website e .lnk, todos relevantes por poderem apontar para recursos remotos por caminhos UNC. Arquivos .url e .website podem armazenar referências a URLs ou recursos de rede, enquanto .lnk é um atalho do Windows que pode apontar para arquivo, pasta, programa ou caminho remoto. Quando esses artefatos direcionam o cliente para um servidor SMB, a tentativa de acesso pode resultar em autenticação NTLM e exposição da resposta do usuário, embora algumas variantes exijam interação manual adicional.
A superfície principal está em estáções Windows que processam arquivos recebidos de fontes não confiáveis e ainda permitem autenticação NTLM para destinos SMB externos ou não controlados. O vetor é especialmente sensível em ambientes corporativos com usuários de domínio, porque o material capturado representa credenciais reutilizáveis em fluxos de autenticação, ainda que não contenha a senha em texto claro. A falha foi descrita como presente nas versões recentes do Windows antes da atualização, e a exploração foi classificada como viável com pouca interação do usuário.
Ambientes com correio eletrônico, compartilhamento de arquivos, sincronização em nuvem e recebimento frequente de anexos ou links de download têm maior exposição operacional. O uso de Dropbox na campanha citada mostra que o atacante pode transferir o risco para uma plataforma legítima de hospedagem, reduzindo o ruído inicial de entrega. O risco aumenta quando estáções permitem saída SMB para a internet, quando proxies e firewalls não bloqueiam portas associadas a compartilhamento de arquivos, ou quando políticas de identidade ainda aceitam NTLM em serviços críticos sem assinatura SMB e proteções contra relay.
- Estáções Windows que ainda não receberam a atualização de 11 de março de 2025 para
CVE-2025-24054. - Usuários que manipulam arquivos
.library-ms,.url,.websiteou.lnkrecebidos por e-mail, ZIP, download em nuvem ou caminho compartilhado. - Redes que permitem conexões SMB de saída para servidores externos, incluindo destinos desconhecidos fora dos intervalos corporativos.
- Contas privilegiadas que utilizam NTLM em serviços internos capazes de aceitar relay, especialmente quando a assinatura SMB não é exigida.
A busca deve começar por eventos de autenticação NTLM e conexões SMB iniciadas por estáções de usuário para endereços externos ou países sem relação com o ambiente. O comportamento esperado para compartilhamentos SMB corporativos costuma ser restrito a servidores internos, controladores de domínio, servidores de arquivos e aplicações conhecidas. Uma estáção que envia tráfego SMB para IP público logo após download, extração de arquivo, navegação em pasta de anexos ou manipulação de atalho deve ser tratada como sinal de alto interesse. O contexto cita servidores em Rússia, Bulgária, Países Baixos, Austrália e Turquia, além de 194.127.179[.]157 e 159.196.128[.]120.
No endpoint, a investigação deve correlacionar arquivos recém-criados ou recém-extraídos com atividade de rede do Explorer. Artefatos como .library-ms, .url, .website e .lnk em diretórios de download, área de trabalho, pastas temporárias, anexos extraídos e diretórios sincronizados por nuvem merecem inspeção. O objetivo não é apenas localizar o arquivo malicioso, mas entender se ele acionou autenticação SMB e qual identidade foi usada no momento. Caso a resposta NTLM pertença a usuário com privilégios administrativos, o escopo de investigação deve incluir tentativas de relay e autenticações incomuns em servidores internos no mesmo intervalo temporal.
Em gateways de e-mail e ferramentas de detecção, vale revisar mensagens com links para arquivos ZIP hospedados em serviços legítimos, especialmente quando o conteúdo extraído inclui atalhos, bibliotecas do Windows ou arquivos com referência UNC. Logs de EDR podem revelar criação de arquivos com essas extensões, execução ou leitura pelo Explorer e conexões de rede subsequentes. Em controladores de domínio, eventos de autenticação NTLM devem ser avaliados por origem, destino e conta, buscando padrões incompatíveis com o uso normal do usuário.
- Conexões SMB de saída de estáções para
194.127.179[.]157,159.196.128[.]120ou outros IPs públicos não autorizados. - Criação ou extração de
.library-ms,.url,.websitee.lnkimediatamente antes de autenticação NTLM incomum. - Mensagens de phishing com links de Dropbox que entregam arquivos ZIP, incluindo o nome
xd.zipquando presente em logs ou quarentena. - Mensagens
NTLMSSP_AUTHobservadas em tráfego SMB para servidores fora da infraestrutura corporativa. - Autenticações NTLM envolvendo contas privilegiadas após interação com arquivos baixados ou extraídos.
A primeira ação defensiva é aplicar a atualização da Microsoft publicada em 11 de março de 2025 para CVE-2025-24054 em estáções e servidores Windows afetados. A correção deve ser acompanhada por validação de inventário, porque campanhas foram observadas poucos dias depois da disponibilidade do patch. Sistemas fora do ciclo de atualização, imagens antigas de VDI, notebooks remotos e máquinas que recebem anexos de fontes externas devem ser priorizados. A remediação só deve ser considerada completa depois que a telemetria confirmar que os ativos vulneráveis deixaram de processar o vetor descrito.
A mitigação de rede é igualmente importante. Bloquear SMB de saída para a internet reduz a utilidade do vetor, pois impede que o cliente entregue a resposta NTLMv2 para um servidor externo controlado pelo atacante. Em redes segmentadas, a regra deve ser aplicada em firewalls de borda, proxies capazes de controlar tráfego e políticas locais de host quando disponíveis. Serviços internos que ainda dependem de NTLM devem ser revisados para exigir assinatura SMB e reduzir a possibilidade de relay. Onde for viável, a organização deve migrar fluxos de autenticação para mecanismos mais robustos e restringir NTLM por política.
Depois de identificar exposição potencial, a resposta deve separar contenção de validação. Contenção envolve remover artefatos maliciosos, bloquear IoCs conhecidos, isolar estáções que estabeleceram SMB externo e impedir novas entregas por e-mail. Validação envolve verificar quais contas geraram respostas NTLMv2, se houve autenticação subsequente em serviços internos, e se alguma conta privilegiada participou do fluxo. Como a captura do hash permite tentativa de quebra offline, contas envolvidas em eventos confirmados devem passar por redefinição de senha conforme criticidade, com prioridade para administradores, contas de serviço interativas e usuários com acesso amplo a recursos internos.
- Instalar a atualização de segurança de 11 de março de 2025 associada a
CVE-2025-24054e confirmar cobertura em todo o parque Windows. - Bloquear SMB de saída para destinos externos e permitir apenas servidores SMB corporativos aprovados.
- Exigir assinatura SMB e aplicar proteções contra relay NTLM em serviços que ainda aceitam esse protocolo.
- Filtrar e quarentenar anexos ou downloads com
.library-ms,.url,.websitee.lnkquando vierem de fontes não confiáveis. - Investigar contas que autenticaram via NTLM para servidores desconhecidos e redefinir senhas de identidades expostas quando houver evidência de captura.
- Revisar políticas de uso de NTLM e reduzir dependências, especialmente em aplicações e servidores acessíveis por contas privilegiadas.
0 Comentários