Поделиться
«Нейроинформ»: число жертв новой уязвимости в Windows Explorer растет с каждым днем
Эксперты компании «Нейроинформ» регулярно сталкиваются с появлением новых уязвимостей в ИТ-инфраструктуре российских компаний. Однако, некоторые из этих угроз являются особенно вредоносными и причиняют значительный вред организациям. Недавно в России была выявлена активная эксплуатация новой уязвимости, известной как CVE-2025-24071, которая позволяет злоумышленникам получить логин и пароль пользователя от доменной учетной записи из-за некорректной обработки файлов .library-ms в Windows Explorer. Об этом CNews сообщили представители «Нейроинформ».
Специалисты «Нейроинформ» обнаружили, что с 1 по 15 мая 2025 г. число жертв новой уязвимостей среди российских компаний выросло в 2,5 раза по сравнению с периодом с 1 по 15 апреля 2025 г. Наибольший рост количества пострадавших компаний был выявлен в ритейле (число жертв выросло в три раза), в логистике (число жертв увеличилось в два раза) и в телеком-сфере (число жертв выросло в 1,5 раза). Для анализа были использованы данные клиентов «Нейроинформ».
Обычно эксплуатация данной уязвимости происходит с помощью фишинговой рассылки. Злоумышленник создает файл в формате XML с любым именем (например, info.library-ms) и расширением .library-ms, кладет его в папку с другими файлами (например, фейковое резюме в формате PDF + диплом + info.ms-library) ) и после этого архивирует всю папку с помощью ZIP. Главная задача киберпреступника - так составить фишинговое письмо, чтобы жертва разархивировала вложение и зашла в папку, где лежит этот файл. В результате Windows сама прочитает содержимое файла и обратится к серверу злоумышленника, путь к которому прописан в файле, отправив туда логин и хэш пароля.
По сути данная уязвимость является ошибкой приложения. Windows видит файл с расширением .library-ms и считает, что внутри находится ссылка на нужную библиотеку. Для того, чтобы подключить данную библиотеку система обращается по ссылке внутри и пытается авторизоваться с логином и паролем пользователя. Пароль отправляется в виде хэша.
Основная угроза состоит в том, что если злоумышленник сможет расшифровать этот хэш, то сможет подключиться к ящику корпоративной электронной почты или корпоративному VPN, что приведет к самым негативным последствиям для компании.
«Данная уязвимость действительно является довольно серьезной проблемой для пользователей. Файл ms-library не является вирусом, и поэтому спокойно попадает на компьютеры пользователей. CVE-2025-24071 уже была исправлена компанией Microsoft, но не все организации успели установить обновления. К сожалению, злоумышленники активно эксплуатируют любые известные уязвимости, и этот недостаток не стал исключением», - отметил Александр Дмитриев, генеральный директор «Нейроинформ».
Короткая ссылка
