摘要
CVE-2025-50154是Windows资源管理器中的一项漏洞,可能导致敏感认证信息在网络中泄露。微软将此问题归类为欺骗攻击,其根本缺陷对应CWE-200(敏感信息泄露)标准。
在受影响的配置中,Windows资源管理器在处理快捷方式相关元数据时可能触发网络身份验证。若所引用的远程目标由攻击者控制,攻击者可能捕获NTLM挑战响应数据。根据组织的安全控制措施,这可能导致后续滥用行为,例如NTLM中继攻击或离线密码猜测。
在本博客中,我们将基于参与OPSWAT 研究员项目的研究生所开展的研究,深入探讨CVE-2025-50154漏洞,并提供切实可行的缓解措施指导,以降低强制NTLM身份验证的风险。
影响与风险
CVE-2025-50154于2025年8月12日被披露,影响多个受支持的Windows客户端和服务器版本(Windows 10/11及WindowsServer ),具体为修复版本之前的版本。该漏洞的CVSS v3.1评分为6.5(中等)。
主要安全后果是凭证泄露:攻击者可通过诱使资源管理器向其控制的端点进行身份验证,从而获取NTLM挑战响应数据。根据环境不同,此类凭证可被用于:
•NTLM 中继(欺骗):当中继保护机制缺失或配置错误时,冒充受害者身份向其他服务进行身份验证。
•离线密码猜测/破解:尝试从捕获的挑战响应材料中恢复弱密码。
可行性在很大程度上取决于企业控制措施,例如SMB签名、NTLM限制、网络分段以及服务端强化。
攻击场景
CVE-2025-50154 是一个强制认证问题。当 Windows 资源管理器处理引用远程 SMB/UNC 位置的快捷方式时,可能在正常渲染或路径验证过程中建立 SMB 连接。因此,远程端点可能接收会话建立过程中生成的 NTLM 认证交换材料。
典型的攻击场景如下:
- 攻击者准备阶段:攻击者控制一台SMB服务器,并准备好被快捷方式引用的共享文件夹。
- 快捷方式放置:通过常见渠道(例如钓鱼邮件附件、同步文件夹、共享文件库或现有立足点)向受害者环境投放指向攻击者控制的SMB路径的.lnk文件。
- 资源管理器触发访问:当受害者浏览包含该快捷方式的目录时,Windows资源管理器会解析快捷方式元数据,并可能在常规用户界面处理过程中尝试解析远程目标。
- 隐式认证:在SMB会话建立过程中,Windows会以用户身份(通常通过NTLM)进行认证。受害者无需执行快捷方式目标即可完成认证交互。
- 捕获后的结果(取决于环境):根据环境控制机制,捕获的NTLM材料可能被用于NTLM中继攻击或离线密码破解。实际可行性受SMB签名、NTLM限制及网络分段等因素影响。
技术背景
Windows 资源管理器和快捷方式渲染
Windows资源管理器(explorer.exe)是Windows的壳进程,负责枚举目录内容并呈现文件资源管理器界面,通过调用Shell组件(如图标/覆盖层/缩略图处理程序)来获取并显示图标、覆盖层和缩略图。
Windows 快捷方式 (.lnk) 并非简单的文本指针,而是结构化的元数据格式,可存储目标路径(本地路径或 UNC/SMB 路径)、可选参数和工作目录,以及独立的图标引用。在常规文件夹浏览过程中,资源管理器会解析快捷方式元数据以在用户界面中呈现快捷方式(例如解析图标并验证目标)。 根据所引用的目标及相关元数据,此处理过程可能导致资源管理器在常规渲染或路径验证过程中尝试进行网络访问。
基于SMB的NTLM身份验证
在Windows文件共享中,SMB身份验证通常优先在域环境中使用Kerberos,但当Kerberos不可用或未被选中时,仍可能协商使用NTLM。NTLM是一种挑战-响应协议:客户端首先声明其能力,服务器返回挑战(随机数),客户端则根据挑战和用户的密钥生成身份验证消息进行响应——整个过程中不会发送明文密码。
源代码: 开放规范 窗口协议 MS-NLMP
NTLM变体与安全态势(NTLMv1与NTLMv2对比)
NTLM存在多种变体。现代Windows环境通常依赖NTLMv2,应尽可能避免使用旧版LM/NTLMv1。
NTLMv1因若干关键原因(加密强度弱、密钥熵值低、存在中继漏洞、存在离线破解风险等)而被公认为不安全。
为改进这一缺陷,微软推出了NTLMv2协议,该协议强化了响应计算机制。具体而言,NTLMv2用基于HMAC-MD5的方案取代了旧版DES风格的响应构造方式,并在响应中融入了额外上下文信息,使其相较于NTLMv1在抵御多类离线破解技术方面具备显著增强的抗攻击能力。
即使采用NTLMv2协议,组织仍应将NTLM视为比Kerberos风险更高的身份验证协议,并实施深度防御控制措施(例如SMB签名和分段策略),以缩小强制身份验证场景的破坏范围。
为何NTLM仍频遭攻击
尽管NTLM是一种挑战响应协议,但由于其认证交换在恶意网络环境中仍可直接利用,因此对攻击者依然具有吸引力。 在SMB会话建立过程中,远程端点会接收用于客户端认证所需的认证元数据及挑战响应值。若攻击者能操控目标端点(例如由攻击者控制的SMB服务器),或能在传输过程中拦截/终止连接,便可能捕获NTLM交互数据,并根据环境防护措施尝试后续攻击手段,如NTLM中继攻击或离线密码猜测。
Windows还将NTLM集成到其单点登录(SSO)体验中。 由用户密钥派生的凭据信息由LSASS管理,可用于网络资源(如SMB共享)的身份验证,且无需反复提示用户输入凭据。虽然这提升了用户体验,却扩大了强制认证场景的攻击面:当.lnk快捷方式指向远程SMB路径时,Windows资源管理器在常规快捷方式处理过程中可能主动建立SMB连接,并自动协商身份验证。
在CVE-2025-50154漏洞背景下,这意味着NTLM身份验证交换数据可能被发送至攻击者控制的SMB端点,而无需受害者执行目标程序,从而在常规文件夹浏览过程中形成无声的凭证泄露通道。
技术分析
资源管理器图标渲染与快捷方式处理
当文件资源管理器打开文件夹时,会枚举目录内容并根据其注册的文件关联(通常由文件扩展名驱动)确定每个项目的类型。随后Windows通过对应的shell类注册(例如通过注册表中的关联CLSID/ProgID映射)定位合适的shell处理程序——通常是负责图标提取和渲染的COM组件。资源管理器调用相关接口以获取并显示图标。
对于.lnk(Shell Link)文件,资源管理器通常不会默认显示通用快捷方式图标。相反,它会解析快捷方式元数据,尝试解析所引用的目标(及相关图标信息),然后渲染与该解析目标关联的图标。
当资源管理器渲染.lnk文件时,会通过调用CShellLink::GetIconLocation来确定图标来源,该函数用于识别图标的加载位置(例如目标二进制文件、显式图标路径或默认系统图标)。 在此流程中,资源管理器会初始化图标提取功能(_InitExtractIcon),随后执行核心解析逻辑(_GetExtractIcon),该逻辑通过_CheckExtractLocation函数评估图标来源。
• 若快捷方式指定了本地图标位置(例如磁盘上的可执行文件或动态链接库),资源管理器将直接从该资源加载图标。
• 若图标位置为远程 URL,资源管理器可能会将图标下载至本地缓存(例如使用URLDownloadToCacheFileW 函数),随后从缓存副本中加载该图标。
• 若未找到有效的图标来源,资源管理器将回退至系统处理程序提供的默认图标。
在解析图标相关元数据后,资源管理器通过CShellLink::Extract 处理快捷方式的目标,并完成提取工作流。在此路径中,当快捷方式指向远程位置时,资源管理器会调用CShellLink::_ShortNetTimeout应用更短的网络超时设置,从而在网络目标响应迟缓或不可达时减少用户界面延迟。
当目标被识别为网络(UNC)路径时,资源管理器会异步执行目标验证。它会生成一个工作线程来运行CShellLink::_VerifyPathThreadProc,该线程负责检查所引用的目标是否存在。
在此例程中,Explorer 调用PathFileExistsAndAttributesW 函数来查询目标文件的存在性及其基本属性(例如文件与目录的区别),而对于 SMB/UNC 目标,该操作需要尝试进行网络访问。
漏洞根本原因
在上述快捷渲染流程中,有两个出站操作相关:
• 通过URLDownloadToCacheFileW获取图标(当快捷方式的图标源为远程 URL 时)。
• 通过PathFileExistsAndAttributesW验证目标(当快捷方式的目标为 UNC/SMB 路径时)。
为验证URLDownloadToCacheFileW的行为,我们API 一个最简化的独立测试来运行该API 。
该网络活动仅包含常规的HTTP请求,根据我们的观察,其并未泄露与该漏洞相关的凭证信息。
当评估路径为 UNC/SMB 目标时,PathFileExistsAndAttributesW的行为更为关键。在调试过程中,我们观察到此检查可能在当前用户上下文中启动 SMB 会话建立并协商身份验证。
由于资源管理器在处理.lnk文件时可能自动调用此验证机制,攻击者控制的SMB端点可在受害者未执行引用文件的情况下获取NTLM身份验证交换材料,从而在常规文件夹浏览过程中形成隐蔽的凭证泄露通道。
概念验证
在隔离实验室中,OPSWAT 研究员通过引用远程SMB/UNC路径的快捷方式(.lnk)成功验证了CVE-2025-50154漏洞。在存在漏洞的Windows系统上,仅需通过Windows资源管理器浏览该文件夹,便会在常规快捷方式处理过程中触发SMB连接,导致NTLM认证信息被发送至远程端点——且无需受害者执行快捷方式目标。
补救措施
组织必须确保其操作系统和应用程序定期打补丁并保持更新,以缓解已知漏洞。这包括应用所有相关微软安全更新,并验证所有终端设备是否运行修正后的最新Windows版本。同时,组织应通过在适当情况下收紧外向SMB访问权限,并根据自身环境强化NTLM/SMB安全控制措施,从而缩小攻击面。
MetaDefender 通过提供清晰的风险可见性与补丁准备度评估,支持这些安全措施并助力其大规模落地实施。凭借覆盖1100余款应用程序的强大漏洞与补丁管理能力,Endpoint 识别运行未打补丁或过时Windows版本的终端设备及第三方应用程序,并提供推荐修复方案。
此外,通过My Central Management的管理控制台,管理员能够集中统一查看端点安全状态、漏洞暴露情况及补丁管理,所有操作均可在单一平台内完成,从而实现全组织范围的安全策略定义与强制执行。 管理员还可在Endpoint 终端上创建并部署自定义脚本,自动执行与SMB访问及NTLM使用相关的强化操作。这种方法既能简化安全策略执行流程,又能清晰反馈执行结果,使管理员能快速识别需要进一步排查或人工干预的终端设备。
MetaDefender Endpoint IT 团队Endpoint 优先部署更新、加速修复流程、持续监控组织安全态势,从而有效降低对CVE-2025-50154等通用漏洞与暴露(CVE)及类似终端威胁的暴露风险。
