Cymulate 研究实验室在持续安全研究过程中，发现了一个无需用户交互即可泄露 NTLM 凭据的漏洞，该漏洞可绕过微软针对 CVE-2025-24054 发布的补丁。原漏洞展示了通过特制请求触发 NTLM 认证并泄露敏感凭据的过程。微软虽通过安全更新修复了该缺陷，但我们的测试表明其修复并不彻底。

这一新漏洞现被分配为 CVE-2025-50154，攻击者无需任何用户交互即可提取 NTLM 哈希值，即使在完全打补丁的系统上也不例外。通过利用缓解措施中存在的细微缺陷，攻击者可自动触发 NTLM 认证请求，进而实施离线破解或中继攻击以获取未授权访问权限。

此漏洞风险显著：NTLM 中继攻击可能导致权限提升、横向移动和远程代码执行（RCE），尤其在针对高价值账户时更为危险。由于该漏洞利用无需用户交互，仅依赖微软四月补丁进行防护的企业将面临更大的攻击面。

我们已向微软安全响应中心（MSRC）负责任地披露了研究结果，该漏洞已获得官方 CVE 编号。预计新的安全更新将彻底解决此问题。

技术背景

NTLM（新技术 LAN 管理器）是微软推出的一套认证协议，用于验证用户身份并保护网络通信。该协议采用直接的客户端-服务器“质询/响应”机制：服务器发出质询，客户端在不传输实际密码的情况下证明自身身份。

尽管 NTLMv2 能够防御预计算攻击（如彩虹表攻击和哈希传递攻击），但被截获的哈希值仍可能被利用。攻击者可通过离线暴力破解或使用中继攻击（一种中间人攻击手段，将窃取的哈希值传递至其他服务以冒充用户登录）加以利用。若受陷账户具有提升的权限，攻击者可迅速实现权限提升和网络横向移动。

值得注意的是，Check Point 曾发布技术博客详细分析 CVE-2025-24054。但在微软发布该漏洞补丁后，我们仍发现了绕过方法并成功获取 NTLM 哈希，证明威胁并未被完全消除。

原漏洞复现分析

为复现漏洞环境，我们在未安装任何安全更新的 Windows 10 虚拟机中进行测试。

首先搭建 SMB 服务器监听传入的 SMB 连接，并启动 Wireshark 抓包分析客户端基于 ICO 文件泄露哈希的行为特征。

该脚本会创建包含远程 SMB 图标的 LNK 文件。运行后通过查看资源管理器中的图标，即可获取当前运行用户通过 explorer.exe 进程泄露的 NTLMv2-SSP 哈希。

在已打补丁的环境中，我们于另一台打过补丁的 Windows 10 虚拟机中测试相同脚本。
运行脚本后图标未被加载，且未观察到哈希泄露。

绕过漏洞技术细节

需修改脚本将图标设置为默认值（shell32.dll），并将可执行文件路径指向远程文件：

攻击原理剖析

当查看桌面快捷方式（例如 Chrome）时，即使未配置 IconLocation 参数，图标仍会被渲染。explorer.exe 进程会直接从 .rsrc 段的 RT_ICON 和 RT_GROUP_ICON 头文件中提取图标。

微软补丁主要针对阻止基于 UNC 路径渲染图标的行为，但未覆盖自身存储图标数据的远程二进制文件。

执行修改后的脚本时，explorer.exe 进程不仅会获取 .rsrc 段，还会为提取图标而下载整个二进制文件。通过 Wireshark 可观察到：

• NTLMv2-SSP 哈希被泄露

• 整个二进制文件在无点击情况下被传输

虽然文件不会立即执行，但此行为仍具高风险：攻击者可在未经同意的情况下将恶意载荷直接投送至受害系统。由于此阶段未触发进程执行，多数安全工具可能忽略该活动，导致文件未被检测。

存在于系统中的二进制文件后续可能被触发，使攻击者能够部署恶意软件、窃取凭据或实施横向移动。即使未立即执行，通过此方式预置恶意二进制文件仍会为更复杂、更具破坏性的攻击奠定基础。

通过 Sysinternals Procmon 监控可观察到文件创建过程及二进制文件大小分配记录。

结论与建议

本漏洞揭示了安全补丁中看似微小的缺陷仍可能使系统暴露于严重威胁之下。通过绕过 CVE-2025-24054 的修复方案，攻击者不仅能在零点击场景下泄露 NTLM 哈希，还可无交互静默下载远程二进制文件。虽然这些文件不会立即执行，但其在目标系统中的存留为攻击者后续发起更具破坏性的攻击（如凭据窃取、勒索软件部署或横向移动）创造了立足点。

凭据泄露与隐蔽载荷投递的结合，展现了攻击者如何将多个弱点串联成强大的入侵路径。这进一步说明，即使针对供应商声称已修复的漏洞，仍需进行彻底的补丁验证、实施纵深防御策略并开展持续安全测试。

参考来源：

Zero Click, One NTLM: Microsoft Security Patch Bypass (CVE-2025-50154)