search

Poc - CVE-2025-24054 - Windows NTLM Hash Disclosure via .library-ms Spoofing

Logowindows 10/11 - NTLM Hash Disclosure SpoofingExploit Databasechevron-right

hashtag
Resumen

Desarrollé una Proof of Concept (PoC) que demuestra una vulnerabilidad de NTLM Hash Disclosure en Windows 10 y Windows 11, provocada por el uso de archivos .library-ms que apuntan a recursos remotos controlados por un atacante mediante rutas UNC.

La PoC permite forzar la autenticación NTLM automática del sistema víctima hacia un servidor remoto, lo que resulta en la exposición del hash NTLM del usuario. El exploit fue publicado y verificado en Exploit Database (EDB-ID 52478).

hashtag
Detalle técnico

  • Producto afectado: Microsoft Windows

  • Versiones: Windows 10 / Windows 11 (múltiples builds, ver CPE)

  • CVE: CVE-2025-24054

  • Componente vulnerable: Mecanismo de bibliotecas de Windows (.library-ms)

  • Vector de ataque: Archivo .library-ms apuntando a una ruta UNC remota

  • Tipo de vulnerabilidad: NTLM Hash Disclosure / Spoofing

  • Plataforma: Windows

hashtag
Descripción de la PoC

La PoC consiste en la generación de un archivo .library-ms que referencia un recurso remoto a través de una ruta UNC (\\attacker\share).

Cuando el archivo es abierto o importado en el sistema Windows víctima, el sistema intenta resolver automáticamente el recurso remoto. Durante este proceso, Windows inicia una autenticación NTLM automática, enviando el hash NTLM del usuario al servidor remoto controlado por el atacante.

La PoC está diseñada para:

  • Generar el archivo .library-ms de forma controlada.

  • Empaquetarlo opcionalmente en un archivo ZIP.

  • Facilitar pruebas únicamente en entornos de laboratorio.

No se requiere explotación de memoria ni ejecución directa de código en el sistema víctima.

hashtag
Comportamiento demostrado

  • Forzado de autenticación NTLM automática hacia un servidor remoto.

  • Exposición del hash NTLM del usuario autenticado.

  • Confirmación de que Windows no valida adecuadamente el origen del recurso remoto.

  • Posibilidad de captura del hash para ataques posteriores (relay u offline cracking).

hashtag
Entorno de pruebas

  • Plataforma: Windows 10 (x64) / Windows 11 (x64)

  • Escenario: Laboratorio controlado

  • Herramientas empleadas:

    • Python 3

    • SMB listener (Responder / equivalente)

    • Archivo .library-ms generado por la PoC

hashtag
Impacto

Un atacante puede explotar esta vulnerabilidad para:

  • Obtener hashes NTLM de usuarios legítimos (confidencialidad).

  • Realizar ataques de NTLM relay contra otros servicios.

  • Ejecutar ataques de fuerza bruta u offline cracking sobre los hashes obtenidos.

  • Facilitar movimientos laterales dentro de entornos corporativos Windows.

hashtag
Mitigaciones recomendadas

  • Bloquear o restringir autenticaciones NTLM hacia recursos remotos no confiables.

  • Deshabilitar NTLM cuando sea posible y migrar a Kerberos.

  • Aplicar las actualizaciones de seguridad publicadas por Microsoft.

  • Configurar políticas de grupo para limitar el acceso a rutas UNC externas.

  • Monitorizar intentos de autenticación NTLM saliente inesperados.

hashtag
Referencias

triangle-exclamation

Esta PoC ha sido desarrollada únicamente con fines educativos y de investigación. No debe ejecutarse contra sistemas en producción ni sin autorización expresa. Seguir siempre prácticas de responsible disclosure.

PreviousPoC - CVE-2025-32023 (Redis) - Remote Code Execution (RCE)

Last updated