CVE-2025-24071 es una vulnerabilidad de Windows File Explorer que nos permite la exposición de información de autenticación (hashes NTLM) cuando el explorador de Windows procesa archivos de librería (.library-ms) que contienen rutas de red. Un atacante puede provocar que el sistema objetivo se intente autenticar contra un servidor controlado por el atacante, filtrando hashes NTLM explotables si no se aplican mitigaciones.

MITRE define esta vulnerabilidad como divulgación de información (CWE-200). Afecta a Microsoft Windows 10 y 11 y a Windows Server 2016, 2019, 2022 y 2025. CVSS: 6.5 (Medium), Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N. Aquí puedes ver la lista completa con información más detallada sobre esta vulnerabilidad: https://nvd.nist.gov/vuln/detail/CVE-2025-24071#vulnConfigurationsAre.

Explicación técnica

Para entender cómo funciona esta vulnerabilidad, primero deberemos saber que Windows File Explorer procesa archivos .library-ms. Los cuales contienen metadatos que pueden incluir rutas UNC (Ej:\\\\Server\\test); el proceso Explorer.exe, al leer este archivo, podrá iniciar una conexión SMB para resolver la ubicación. Durante el acceso a esa ruta, el sistema negocia NTLM con el host de destino, pudiendo exponer hashes NTLM.

La causa raíz de que esto suceda se debe a que la lógica de procesamiento confía implícitamente en rutas contenidas en este tipo de archivos, desencadenando —como ya se ha explicado— una conexión de red automática sin una previa validación adecuada.

Como condición necesaria para la exfiltración, el archivo malicioso debe llegar a un entorno donde Explorer.exe pueda interactuar con él, y el atacante debe poder recibir o registrar esa solicitud de autenticación en su servidor (por ejemplo, mediante un listener o responder). La forma de empaquetado también importa (TAR, ZIP, RAR), ya que condicionará cómo se entrega el payload en diferentes entornos.

Flujo de ataque

1. El atacante construye un archivo .library-ms malicioso que referencia a una ruta de red controlada por el mismo.
2. Se empaqueta el archivo en un contenedor y se sube a una ubicación donde la víctima lo pueda abrir o extraer.
3. Cuando Explorer procesa el archivo o el usuario extrae el contenido, Explorer intentará resolver la ruta de red.
4. El sistema objetivo negociará la autenticación NTLM contra el host referenciado en el .library-ms.
5. El atacante captura la transacción obteniendo así el hash NTLM.
6. El atacante, una vez habiendo obtenido el hash NTLM, podrá crackear el hash offline o usarlo en técnicas de relay.

Mitigaciones/Playbook

• Aplicar parches oficiales publicados por Microsoft lo antes posible. (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24071).
• Controles temporales de red: Si el servicio SMB no es necesario, se recomienda prescindir de el, en cambio, si sí es necesario, es importante monitorizar conexiones salientes SMB/445 hacia hosts no autorizados.
• Hardening: Habilitar SMB signing, reducir o deshabilitar NTLM cuando sea posible, aplicar GPOs que restrinjan la apertura o extracción automática de archivos de orígenes no fiables.
• Concienciación en materia de ciberseguridad a los usuarios.

Miscelánea

Sobre la interacción de usuario (excepción TAR/SMB): Microsoft en MSRC indica correctamente que la explotación clásica del CVE-2025-24071 requiere interacción del usuario (UI:R): el usuario debe ser engañado para abrir una carpeta que contenga un archivo especialmente manipulado; realmente esto es correcto en la mayoría de entornos.

No obstante, en entornos donde se permita extraer archivos comprimidos, por ejemplo mediante smbclient, que puede ejecutar el comando tar, el .library-ms puede terminar procesándose sin interacción del usuario final. En estas condiciones, un atacante puede lograr la negociación NTLM y la captura del hash sin la necesidad de la interacción de un tercero. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24071

Para finalizar, se debe dejar claro que el protocolo SMB en sí no tiene capacidad de ejecutar ni descomprimir archivos TAR. Sin embargo, herramientas cliente como smbclient implementan un modo TAR que permite realizar la extracción de forma local mientras se comunica con el share de SMB.

Referencias

• https://nvd.nist.gov/vuln/detail/CVE-2025-24071#vulnConfigurationsArea
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24071
• https://www.exploit-db.com/exploits/52325
• https://github.com/ex-cal1bur/SMB_CVE-2025-24071
• https://danielmb.es