Wprowadzenie do problemu / definicja luki
Microsoft wprowadził zmianę, która automatycznie wyłącza okienko podglądu (Preview Pane) w Eksploratorze plików dla plików pobranych z Internetu i plików oglądanych z udziałów sklasyfikowanych jako Internet Zone. Celem jest zablokowanie kradzieży skrótów NTLM podczas samego zaznaczenia pliku do podglądu – bez otwierania go w aplikacji. Zmiana obowiązuje po instalacji aktualizacji zabezpieczeń z 14 października 2025 r. i nowszych (Windows 11 oraz Windows Server) i jest włączana automatycznie.
W skrócie
- Co się zmieniło: Eksplorator Windows nie pokaże podglądu plików oznaczonych Mark of the Web (MotW) ani przeglądanych z udziałów w strefie Internet. Zamiast tego zobaczysz komunikat ostrzegawczy.
- Po co: aby zablokować scenariusze, w których sam podgląd pliku (np. z tagami HTML odwołującymi się do zewnętrznych ścieżek) powodował wysłanie uwierzytelnienia NTLM do serwera atakującego.
- Kontekst: w 2025 r. udokumentowano aktywnie wykorzystywaną podatność ujawniającą skróty NTLM przy użyciu plików .library-ms rozsyłanych w phishingu.
- Status: zmiana jest już dystrybuowana w październikowych aktualizacjach, co potwierdził również przegląd branżowy.
Kontekst / historia / powiązania
W pierwszej połowie 2025 r. badacze wskazali, że odpowiednio spreparowane pliki .library-ms mogą wywoływać ujawnienie skrótów NTLM (NTLM hash disclosure) i służyć do relay/brute-force w dalszych etapach ataku. CISA dodała CVE-2025-24054 do katalogu Known Exploited Vulnerabilities, a analizy Check Point opisały aktywne nadużycia od 19 marca 2025 r. w kampaniach phishingowych.
Równolegle Microsoft przyspieszył odchodzenie od NTLM w Windows 11 24H2/Windows Server 2025 (m.in. usunięcie NTLMv1, nowe logowanie audytowe NTLM), jednak pełne wyłączenie NTLMv2 to proces wieloetapowy.
Analiza techniczna / szczegóły luki
- Vektor ataku: plik oznaczony MotW lub przeglądany z Internet Zone zawiera treści, które w czasie renderowania podglądu (Preview Pane) mogą odwołać się do zasobów zdalnych (np. przez tagi HTML
<link>/src>lub podobne mechanizmy w handlerach podglądu). - Skutek: system może spróbować uwierzytelnić dostęp do zewnętrznego zasobu przy użyciu NTLM, wysyłając skrót (hash). Napastnik, kontrolując serwer, może przechwycić hash i wykorzystać go w atakach NTLM relay lub do offline cracking.
- Mitigacja Microsoftu (październik 2025): pełne wyłączenie podglądu dla takich plików – użytkownik widzi komunikat: „The file you are attempting to preview could harm your computer…”. Wyjątki wymagają świadomego odblokowania przez użytkownika/admina.
Ta zmiana minimalizuje interakcję wymaganą od ofiary – wcześniej wystarczało zaznaczenie pliku, teraz podgląd nie zostanie wygenerowany automatycznie.
Praktyczne konsekwencje / ryzyko
- Użytkownicy końcowi: mniej „cichych” wektorów phishingu – przypadkowe zaznaczenie pliku z poczty/WWW nie wyśle już NTLM.
- Zespoły IT: możliwe skargi na „brak podglądu” w procesach pracy z pobranymi dokumentami (np. oceną plików). Dla zaufanych źródeł trzeba używać mechanizmu Unblock lub stref Trusted sites/Local intranet – z pełną świadomością, że to obniża poziom ochrony.
- Zagrożenia, które pozostają: środowiska z włączonym NTLM nadal są podatne na inne kanały wycieku (SMB, WebDAV, Outlook, itp.), stąd potrzeba szerszego hardeningu NTLM i monitoringu.
Rekomendacje operacyjne / co zrobić teraz
- Zastosuj październikowe aktualizacje (2025-10-14 i nowsze) na Windows 11/Windows Server. Zmiana włączy się automatycznie.
- Zachowaj domyślne wyłączenie podglądu dla plików z MotW/Internet Zone. Nie globalnie odblokowuj, o ile nie jest to absolutnie konieczne.
- Jeżeli musisz umożliwić podgląd zaufanych plików:
- pojedynczy plik: Properties → Unblock (wymaga ponownego logowania, by zadziałało konsekwentnie),
- udział: dodaj do Trusted sites/Local intranet – pamiętaj, że obniżasz ochronę wszystkich plików z tego udziału.
- Ogranicz użycie NTLM w domenie: egzekwuj preferencję Kerberos (Negotiate), wyłącz NTLMv1 (jeśli jeszcze gdzieś żyje), zaplanuj deprecjację NTLMv2 zgodnie ze wskazówkami Microsoft (24H2/Server 2025 wprowadzają audyt ułatwiający inwentaryzację użycia NTLM).
- Monitoruj zdarzenia NTLM (Windows 11 24H2 / Server 2025 mają nowe logi: Applications and Services Logs → Microsoft → Windows → NTLM → Operational). Ustal progi alertowania dla nietypowych źródeł/hostów.
- Uzupełnij kontrolami towarzyszącymi: ASR/SmartScreen dla MotW, blokady makr, egzekwowanie SMB Signing, segmentacja serwerów, EDR z detekcją NTLM relay. (Wnioski na podstawie kierunku zmian Microsoft i analizy incydentów z CVE-2025-24054).
Różnice / porównania z innymi przypadkami (jeśli dotyczy)
- W CVE-2025-24054 atak opierał się na plikach .library-ms i mógł zostać zainicjowany już na etapie podglądu/renderowania zasobów; obecna zmiana systemowo ucina ten wektor w Eksploratorze.
- Wcześniejsze działania Microsoft dotyczyły protokolarnego poziomu NTLM (usuwanie NTLMv1, audyt), natomiast tutaj to zabezpieczenie UX/systemowe w warstwie shell/preview handlers. Razem składają się na obronę w głąb.
Podsumowanie / kluczowe wnioski
Blokada podglądu dla plików z Internetu to prosty, ale skuteczny sposób na wyeliminowanie popularnego wektora kradzieży skrótów NTLM bez zmuszania użytkowników do zmiany nawyków. Dla SOC/IT to dobry moment, by przycisnąć deprecjację NTLM, wdrożyć audyt 24H2/Server 2025 i konsekwentnie redukować wyjątki w Trusted sites.
Źródła / bibliografia
- Microsoft Support – File Explorer automatically disables the preview feature for files downloaded from the internet (KB 5070960), 22.10.2025. (Microsoft Support)
- BleepingComputer – Microsoft disables File Explorer preview for downloads to block attacks, 23.10.2025. (BleepingComputer)
- Check Point Research – CVE-2025-24054: NTLM exploit in the wild, 16.04.2025. (Check Point Research)
- CISA – Known Exploited Vulnerabilities Catalog (CVE-2025-24054). (cisa.gov)
- Microsoft Support – Overview of NTLM auditing enhancements in Windows 11 24H2 & Windows Server 2025, 11.07.2025; oraz Upcoming changes to NTLMv1…, 29.08.2025. (Microsoft Support)