Uma nova vulnerabilidade no Windows Explorer, identificada como CVE-2025-24071, está sendo explorada por cibercriminosos para capturar hashes NTLM de usuários ao extrair arquivos compactados no formato RAR ou ZIP. Descoberta pelo pesquisador de segurança 0x6rss, a falha recebeu um CVSS 7.5 e já está sendo utilizada em ataques ativos. O problema ocorre devido à forma como o Windows lida com arquivos “.library-ms”, que são automaticamente analisados pelo sistema para indexação e visualização, sem necessidade de interação do usuário. Quando um arquivo RAR ou ZIP contendo um “.library-ms” malicioso é extraído, o Windows Explorer automaticamente interpreta seu conteúdo. Isso permite que invasores manipulem a estrutura XML do arquivo para incluir um servidor SMB controlado por eles.
Ao realizar essa análise automática, o sistema operacional tenta se conectar ao servidor indicado no arquivo malicioso, enviando o hash NTLMv2 da vítima no processo. Com esse hash, os atacantes podem realizar ataques de força bruta ou pass-the-hash para comprometer credenciais e invadir sistemas. Pesquisadores de segurança detectaram um aumento nas tentativas de exploração dessa falha, sendo que um dos vetores mais comuns envolve a disseminação de arquivos compactados contendo os elementos maliciosos.
O tráfego gerado pelo ataque foi analisado com ferramentas como Wireshark, confirmando que, ao extrair o arquivo, o Windows inicia automaticamente a comunicação via SMB, acionando processos como Explorer.exe e SearchProtocolHost.exe, que realizam operações como CreateFile, ReadFile e QueryBasicInformationFile. A vulnerabilidade já está sendo comercializada em fóruns clandestinos, sendo promovida por um hacker identificado como “Krypton”, criador do malware EncryptHub Stealer. Além disso, um proof-of-concept (PoC) foi publicado no GitHub, e um módulo específico para o Metasploit já foi desenvolvido para facilitar ataques automatizados. A Microsoft, por sua vez, incluiu uma correção para a falha no Patch Tuesday deste mês, reforçando a necessidade de que usuários atualizem seus sistemas imediatamente.
