CVE-2025-24054: Раскрытие хешей NTLMv2-SSP в Windows File Explorer без взаимодействия пользователя

Репозиторий содержит доказательство концепции (PoC) для уязвимости CVE-2025-24054, позволяющей раскрывать NTLMv2-SSP хэш пользователя через автоматическую обработку UNC-путей в Windows Explorer при предпросмотре ZIP-архивов с вредоносными файлами, либо при его распаковке или взаимодействия с ним.

Ключевые механизмы эксплуатации:
Основная логика CVE заключалась в использовании файлов .searchConnector-ms (XML-формат) с UNC-путями в элементах simpleLocation или searchConnectorDescription. Windows Search Indexer и Explorer автоматически разрешают UNC, обходя защиту Mark-of-the-Web (MOTW), что приводит к инициации SMB-аутентификации на сервере, контролируемом атакующим и последующему захвату NTLMv2-SSP хешей

Детали патча от Microsoft
11 марта 2025 года Microsoft выпустила обновление безопасности для уязвимости CVE-2025-24054. Патч адресовал исходный вектор атаки на основе .searchConnector-ms файлов, усиливая проверку и блокируя автоматическое разрешение UNC-путей в XML-структурах во время предпросмотра архивов

Подробная информация - Windows 11 версии 24H2 патч поставляется под номером KB5053598

Обход патча:
В скрипте я реализовал альтернативный вектор атаки на основе LNK-файлов для этой CVE (см. CVE-2025-50154 / CVE-2025-59214). Обход использует LNK-файлы с UNC в TargetPath и локальными иконками для эвэйда детекции. Генерация PoC осуществляется через PowerShell-скрипт patch_bypass.ps1 с параметрами для кастомизации (IP атакующего, имя шары, имя файла-приманки). Это позволяет обходить патч, сохраняя zero-click природу эксплуатации

📌 Демонстрация уязвимостей и исходный код: https://github.com/Untouchable17/CVE-2025-24054