Растет число жертв уязвимости в Windows Explorer

Эксперты компании «Нейроинформ» изучили уязвимость, известную как CVE-2025-24071, которая позволяет злоумышленникам получить логин и пароль пользователя от доменной учетной записи из-за некорректной обработки файлов .library-ms в Windows Explorer.

Так, с 1 по 15 мая текущего года количество жертв новой уязвимости среди российских компаний выросло в 2,5 раза по сравнению с периодом с 1 по 15 апреля 2025 года. Наибольший рост количества пострадавших компаний был выявлен в ритейле (число жертв выросло в три раза), в логистике (увеличилось в два раза) и в телеком-сфере (выросло в 1,5 раза).

Как это работает: киберпреступник создает файл в формате XML с любым именем (например, info.library-ms) и расширением .library-ms, кладет его в папку с другими файлами (например, фейковое резюме в формате PDF + диплом + info.ms-library) и после этого архивирует всю папку с помощью ZIP. Главная задача хакера – так составить фишинговое письмо, чтобы жертва разархивировала вложение и зашла в папку, где лежит этот файл. В результате Windows сама прочитает содержимое файла и обратится к серверу преступника, путь к которому прописан в файле, отправив туда логин и хэш пароля.

Таким образом, данная уязвимость является ошибкой приложения. Windows видит файл с расширением .library-ms и считает, что внутри находится ссылка на нужную библиотеку.

Основная угроза состоит в том, что если злоумышленник сможет расшифровать этот хэш, то сможет подключиться к ящику корпоративной электронной почты или корпоративному VPN, что приведет к серьезным последствиям.

Ранее стало известно, что в России наблюдается значительный рост случаев взлома аккаунтов в нейросетях и популярных зарубежных ИИ-моделях: с января по апрель 2025 года их число увеличилось на 90% по сравнению с аналогичным периодом 2024 года, заявляет компания «Информзащита».