🚨 آسیبپذیری Zero-Click جدید در ویندوز (CVE-2025-50154) 🚨
آسیبپذیری جدید به اسم CVE-2025-50154 کشف شده که پچ قبلی مایکروسافت (CVE-2025-24054) رو دور میزنه
این باگ به مهاجم اجازه میده بدون نیاز به کلیک کاربر (Zero-Click) هشهای NTLMv2 رو بدزده و حتی فایلهای اجرایی رو بیسروصدا دانلود کنه
چطور میشه ازش سوءاستفاده کرد
با یه فایل .lnk ساده که مسیرش به یه سرور SMB مخرب (مثل \\evil-ip\share\bad.exe) اشاره داره و آیکونش از shell32.dll محلی لود میشه میتونید Windows Explorer رو گول بزنید وقتی Explorer فایل رو رندر میکنه (مثلاً تو پوشه Downloads) یه درخواست SMB میفرسته و بوم! هش NTLMv2 کاربر لو میره تازه فایل اجرایی هم تو %TEMP% دانلود میشه
این هشها برای NTLM Relay (مثلاً به LDAP یا SMB برای Domain Takeover) یا کرک آفلاین با Hashcat عالیه میتونید با ترکیبش با CVE-2025-53770 (باگ SharePoint) به RCE برسید
کد اثبات مفهوم تو GitHub (rubenformation) هست با Responder یا Impacket یه سرور SMB راه بندازید و تو چند ثانیه هشها رو بگیرید. با Wireshark هم میتونید رفتار رو مانیتور کنید
لینک PoC
https://lnkd.in/d6w4Vk4p
🛡️برای عزیزان Blue Team: چطور جلوی این فاجعه رو بگیریم؟
ترافیک SMB خروجی رو با Zeek یا Suricata مانیتور کنید (دنبال NTLM Challenge/Response باشید) تو Event Viewer به Event ID 5145 نگاه کنید یا با EDR (مثل Defender یا CrowdStrike) رفتار مشکوک Explorer.exe رو رصد کنید
#امنیت_سایبری #ویندوز #آسیب_پذیری #Cybersecurity #RedTeam #BlueTeam #CVE_2025_50154 #NTLM #ZeroClick
⭐️ @ZeroSec_team
آسیبپذیری جدید به اسم CVE-2025-50154 کشف شده که پچ قبلی مایکروسافت (CVE-2025-24054) رو دور میزنه
این باگ به مهاجم اجازه میده بدون نیاز به کلیک کاربر (Zero-Click) هشهای NTLMv2 رو بدزده و حتی فایلهای اجرایی رو بیسروصدا دانلود کنه
چطور میشه ازش سوءاستفاده کرد
با یه فایل .lnk ساده که مسیرش به یه سرور SMB مخرب (مثل \\evil-ip\share\bad.exe) اشاره داره و آیکونش از shell32.dll محلی لود میشه میتونید Windows Explorer رو گول بزنید وقتی Explorer فایل رو رندر میکنه (مثلاً تو پوشه Downloads) یه درخواست SMB میفرسته و بوم! هش NTLMv2 کاربر لو میره تازه فایل اجرایی هم تو %TEMP% دانلود میشه
این هشها برای NTLM Relay (مثلاً به LDAP یا SMB برای Domain Takeover) یا کرک آفلاین با Hashcat عالیه میتونید با ترکیبش با CVE-2025-53770 (باگ SharePoint) به RCE برسید
کد اثبات مفهوم تو GitHub (rubenformation) هست با Responder یا Impacket یه سرور SMB راه بندازید و تو چند ثانیه هشها رو بگیرید. با Wireshark هم میتونید رفتار رو مانیتور کنید
لینک PoC
https://lnkd.in/d6w4Vk4p
🛡️برای عزیزان Blue Team: چطور جلوی این فاجعه رو بگیریم؟
ترافیک SMB خروجی رو با Zeek یا Suricata مانیتور کنید (دنبال NTLM Challenge/Response باشید) تو Event Viewer به Event ID 5145 نگاه کنید یا با EDR (مثل Defender یا CrowdStrike) رفتار مشکوک Explorer.exe رو رصد کنید
#امنیت_سایبری #ویندوز #آسیب_پذیری #Cybersecurity #RedTeam #BlueTeam #CVE_2025_50154 #NTLM #ZeroClick
⭐️ @ZeroSec_team
lnkd.in
LinkedIn
This link will take you to a page that’s not on LinkedIn
❤4❤🔥1