PoC - CVE-2025-24054 - Windows NTLM Hash Disclosure / Spoofing

Windows 10.0.17763.7009 - spoofing vulnerabilityExploit Database

Resumen

Desarrollé una Proof of Concept (PoC) que demuestra una vulnerabilidad de NTLM Hash Disclosure en Microsoft Windows, identificada como CVE-2025-24054. La vulnerabilidad se origina en el manejo de rutas externas dentro de archivos .library-ms, permitiendo forzar autenticaciones NTLM automáticas hacia recursos remotos controlados por un atacante.

La PoC demuestra cómo la apertura o importación de un archivo .library-ms especialmente construido puede inducir al sistema a autenticarse contra una ruta UNC remota, exponiendo el hash NTLM del usuario. El exploit fue publicado y verificado en Exploit Database (EDB-ID 52480).

Detalle técnico

• Producto afectado: Microsoft Windows

• Versiones afectadas: Windows 10 / Windows 11 / Windows Server (múltiples builds, ver CPE oficial)

• CVE: CVE-2025-24054

• Componente vulnerable: Mecanismo de bibliotecas de Windows (.library-ms)

• CWE: CWE-73 – External Control of File Name or Path

• Vector de ataque: Archivo .library-ms apuntando a una ruta UNC remota

• Tipo de vulnerabilidad: NTLM Hash Disclosure / Spoofing

• Impacto: Exposición de credenciales (confidencialidad)

• Plataforma: Windows

Descripción de la PoC

La PoC consiste en la generación automatizada de un archivo .library-ms en formato XML que referencia un recurso remoto a través de una ruta UNC controlada por el atacante (por ejemplo: \\attacker\share).

Cuando el archivo es abierto o procesado por el sistema Windows víctima:

• Windows intenta resolver automáticamente el recurso remoto.

• Se inicia una autenticación NTLM automática.

• El hash NTLM del usuario autenticado es enviado al servidor remoto.

La PoC permite:

• Generar el archivo .library-ms de forma controlada.

• Validar IP, hostname o ruta UNC.

• Empaquetar opcionalmente el archivo en un ZIP.

• Realizar pruebas exclusivamente en entornos de laboratorio.

No se requiere explotación de memoria ni ejecución directa de código en el sistema víctima. El comportamiento vulnerable se basa en el diseño del mecanismo de resolución de recursos remotos.

Comportamiento demostrado

• Forzado de autenticación NTLM automática hacia un servidor remoto.

• Exposición del hash NTLM del usuario autenticado.

• Confirmación de que Windows no valida adecuadamente el origen del recurso remoto.

• Posibilidad de captura del hash para ataques posteriores (NTLM relay u offline cracking).

Entorno de pruebas

• Sistema operativo: Windows 10 (x64) / Windows 11 (x64)

• Escenario: Laboratorio controlado

• Herramientas empleadas:

  • Python 3

  • SMB listener (Responder o equivalente)

  • Archivo .library-ms generado por la PoC

Impacto

Un atacante puede explotar esta vulnerabilidad para:

• Obtener hashes NTLM de usuarios legítimos.

• Realizar ataques de NTLM relay contra otros servicios.

• Ejecutar ataques de fuerza bruta u offline cracking.

• Facilitar movimientos laterales dentro de entornos corporativos Windows.

Aunque no implica ejecución remota directa de código, la exposición de credenciales puede derivar en compromisos más severos dependiendo de la configuración del entorno.

Mitigaciones recomendadas

• Aplicar las actualizaciones de seguridad publicadas por Microsoft.

• Restringir o bloquear autenticaciones NTLM hacia recursos remotos no confiables.

• Deshabilitar NTLM cuando sea posible y priorizar Kerberos.

• Configurar políticas de grupo para limitar el acceso a rutas UNC externas.

• Monitorizar intentos de autenticación NTLM saliente no habituales.

Referencias

• Exploit Database: https://www.exploit-db.com/exploits/52480

• CVE Record: https://nvd.nist.gov/vuln/detail/CVE-2025-24054

Esta PoC ha sido desarrollada únicamente con fines educativos y de investigación. No debe ejecutarse contra sistemas en producción ni sin autorización expresa. Seguir siempre prácticas de responsible disclosure.