CVE-2025-24071：通过 RAR/ZIP 提取和 .library-ms 文件泄露 NTLM 哈希值

在 Windows 系统中，当一个嵌入 SMB 路径的特制.library-ms 文件被打包至 RAR 或 ZIP 压缩包并执行解压操作时，即便用户未主动触发打开或点击行为，Windows 资源管理器仍会基于其内置的索引与预览机制自动解析文件内容。这一现象的根源在于，Windows 资源管理器默认对特定文件类型实施自动预处理，以便快速生成预览图、缩略图或索引元数据。作为一种基于 XML 格式的文件，.library-ms 承载着定义搜索范围与库位置的功能，由于系统对其存在固有信任机制，文件一经提取，索引服务与资源管理器的内置解析模块便会立即介入，深度分析文件内容，从而为用户呈现适配的图标、缩略图及元数据信息。

提供的文件包含一个直接指向攻击者控制的 SMB 服务器的 <simpleLocation>标签：

提取后，Windows 资源管理器会尝试自动解析此 SMB 路径

以收集元数据和索引文件信息。此操作会触发从受害者系统到攻击者控制的 SMB 服务器的隐式 NTLM 身份验证握手。因此，受害者的 NTLMv2 哈希会在没有明确用户交互的情况下发送。

此漏洞的出现是因为 Windows 资源管理器隐式信任.library-ms文件，并在从存档中提取某些文件类型后立即自动处理这些文件类型。攻击者可以利用这种隐式信任和自动文件处理行为来泄露凭据，然后利用这些凭据进行传递哈希攻击或离线 NTLM 哈希破解。

自动文件处理观察

使用 Procmon，我们可以清楚地观察到，在提取.library-ms文件 后， Explorer.exe和索引服务（例如SearchProtocolHost.exe ）会立即自动执行以下操作：

• CreateFile：该文件由Explorer自动打开。
• ReadFile：读取文件内容以提取元数据。
• QueryBasicInformationFile：执行元数据查询。
• CloseFile：处理完成后关闭文件。

此外，SearchProtocolHost.exe作为 Windows 文件索引服务的一部分被调用。Explorer.exe完成初始处理后，索引服务将重新打开并读取文件以索引其内容。这进一步证实了提取文件时文件的自动处理 ：

• CreateFile、ReadFile、QueryBasicInformationFile、CloseFile：由SearchProtocolHost.exe执行，将文件内容添加到搜索索引中。

这些操作最终表明，Windows 在提取文件后会立即自动处理文件，无需任何明确的用户交互。Explorer.exe和SearchProtocolHost.exe都会自动读取并处理.library-ms文件的 XML 内容，并尝试连接其中嵌入的 SMB 路径。

SMB 通信证据

使用带有 SMB 过滤器（smb或smb2 ）的 Wireshark，您可以直接观察到恶意.library-ms文件的提取会立即触发 SMB 通信尝试。Wireshark 捕获的数据揭示了以下 SMB 数据包序列：

• SMB2 协商协议请求：从受害者到攻击者控制的服务器（192.168.1.116）。
• SMB2 会话设置请求（NTLMSSP_AUTH）：清楚地显示 NTLM 身份验证握手的启动，证明 Windows 在提取文件时自动尝试与 SMB 服务器进行身份验证。