Windows File Explorerの脆弱性に関するPoCが公開 ネットワーク認証乗っ取りのリスク：セキュリティニュースアラート

セキュリティ研究者はWindowsのFile Explorerに存在する脆弱性のPoCエクスプロイトを公開した。この脆弱性（CVE-2025-24071）はNTLMハッシュの漏えいを引き起こす。

[後藤大地，有限会社オングス]

　マルウェアおよびサイバー脅威インテリジェンス（CTI）の専門家である0x6rss氏は2025年3月18日（現地時間）、「Windows File Explorer」（File Explorer）に存在するセキュリティ脆弱（ぜいじゃく）性の概念実証（PoC）エクスプロイトを公開した。「CVE-2025-24071」として特定されているこの脆弱性は悪意のあるファイルを含むアーカイブが展開された際、ユーザーのNTLM（New Technology LAN Manager）ハッシュ漏えいさせる可能性がある。

　NTLMはWindowsで利用されるネットワーク認証プロトコルだ。PoCが公開されたことで、この脆弱性が攻撃者に悪用されるリスクが高まっている。

CVE-2025-24071: NTLM Hash Leak via RAR/ZIP Extraction and .library-ms File（出典：MicrosoftのWebサイト）

ネットワーク認証を乗っ取られる深刻な脆弱性、対策は

　CVE-2025-24071は機密情報漏えいのリスクがある脆弱性だ。RARやZIPアーカイブに、細工された「.library-ms」ファイルが含まれていた場合、これをFile Explorerで展開すると自動的に処理され、NTLM認証情報が外部に送信されてしまう。Microsoftによる共通脆弱性評価システム（CVSS）v3.1のスコア値は7.5で深刻度は重要（High）と評価されている。

　攻撃者はSMB経由でNTLMハッシュを取得するために、細工された「.library-ms」ファイルをアーカイブ内に含め、ユーザーがこのファイルを含んだアーカイブを展開するとWindowsが自動的にリモートサーバへ認証要求を送信する仕組みを悪用する。攻撃者はNTLMv2ハッシュを取得し、それを使ってパス・ザ・ハッシュ攻撃を仕掛ける。

　0x6rss氏はこの脆弱性に対するPoCエクスプロイトをGitHubで公開しており、誰でもこの脆弱性を再現できる状態だ。実際に悪用するには悪意のあるアーカイブファイルを電子メール添付またはダウンロードリンクの形で送信し、ユーザーが誤って解凍するよう誘導する必要がある。

　なお、この脆弱性はすでに悪用されている可能性があることが報告されている。サイバー犯罪フォーラムである「xss」で、脅威アクター「Krypt0n」が類似の攻撃手法を販売していることが確認されている。攻撃者がこの手法を利用すれば、標的の認証情報を収集し、不正アクセスや二次攻撃の足掛かりとすることができる。

　CVE-2025-24071はMicrosoftの2025年3月の累積更新プログラムで修正済みの脆弱性だ。影響を受けるシステムを運用するユーザーや管理者は速やかにWindowsの最新セキュリティアップデートを適用することが強く推奨されている。