近日，科技新聞界曝出一起嚴(yán)重的網(wǎng)絡(luò)安全事件。據(jù)bleepingcomputer報(bào)道，黑客利用Windows系統(tǒng)中的一個(gè)已知漏洞（CVE-2025-24054），在網(wǎng)絡(luò)釣魚活動(dòng)中誘導(dǎo)用戶泄露NTLM哈希值，進(jìn)而實(shí)現(xiàn)身份認(rèn)證繞過和權(quán)限提升。

據(jù)悉，該漏洞最早由微軟在2025年3月的補(bǔ)丁更新中進(jìn)行了修復(fù)。然而，令人擔(dān)憂的是，修復(fù)發(fā)布后不久，Check Point安全研究人員便監(jiān)測到針對該漏洞的攻擊活動(dòng)急劇增加，特別是在3月20日至25日期間，攻擊頻率達(dá)到了高峰。

NTLM（New Technology LAN Manager）作為微軟的一種認(rèn)證協(xié)議，原本設(shè)計(jì)用于避免明文密碼傳輸。然而，隨著技術(shù)的發(fā)展，NTLM的安全性已受到嚴(yán)重威脅，易受到重放攻擊和暴力破解等手段的侵害。此次事件中，黑客正是利用了NTLM的這一弱點(diǎn)。

攻擊者的手段相當(dāng)狡猾。他們通過釣魚郵件向用戶發(fā)送包含惡意.library-ms文件的ZIP壓縮包，這些文件偽裝成來自Dropbox的鏈接。一旦用戶解壓文件，Windows Explorer便會自動(dòng)與這些惡意文件交互，觸發(fā)CVE-2025-24054漏洞。隨后，用戶的Windows系統(tǒng)會被強(qiáng)制連接到黑客控制的遠(yuǎn)程SMB服務(wù)器，并通過NTLM認(rèn)證泄露用戶的哈希值。

Check Point研究人員指出，他們已監(jiān)測到多個(gè)由黑客控制的SMB服務(wù)器IP地址，其中包括159.196.128.120和194.127.179.157。微軟也發(fā)出警告稱，該漏洞的觸發(fā)條件極為寬松，僅需用戶進(jìn)行最小的交互操作（如單擊或右鍵查看文件）即可成功利用。

惡意壓縮包內(nèi)還包含諸如“xd.url”、“xd.website”和“xd.link”等文件，這些文件利用舊版NTLM哈希泄露漏洞作為備用手段，進(jìn)一步增加了用戶信息泄露的風(fēng)險(xiǎn)。盡管CVE-2025-24054漏洞在評估時(shí)僅被評為“中等”嚴(yán)重性，但其潛在的危害卻不容忽視。

面對這一嚴(yán)峻形勢，專家強(qiáng)烈建議所有組織立即安裝2025年3月的Windows更新，以修復(fù)該漏洞。同時(shí)，禁用不必要的NTLM認(rèn)證也是降低風(fēng)險(xiǎn)的有效措施。通過這些措施的實(shí)施，可以有效遏制黑客利用該漏洞進(jìn)行攻擊的行為，保護(hù)用戶的信息安全。

此次事件再次提醒我們，網(wǎng)絡(luò)安全形勢日益嚴(yán)峻，用戶和組織必須時(shí)刻保持警惕，加強(qiáng)安全防護(hù)措施，才能有效應(yīng)對不斷演變的網(wǎng)絡(luò)威脅。