De US Cybersecurity and Infrastructure Security Agency (CISA) heeft donderdag een beveiligingsfout met medium-ernstige beveiligingsfout toegevoegd die Microsoft Windows beïnvloedde aan de bekende uitgebuite catalogus van de Vulnerabilities (KEV), volgens meldingen van actieve uitbuiting in het wild.
De kwetsbaarheid, toegewezen de CVE -ID CVE-2025-24054 (CVSS -score: 6.5), is een Windows New Technology LAN -manager (NTLM) Hash Disclosure Spoofing -bug die vorige maand door Microsoft werd gepatcht als onderdeel van de patch dinsdag updates.
NTLM is een legacy authenticatieprotocol dat Microsoft vorig jaar officieel heeft afgeschaft ten gunste van Kerberos. In de afgelopen jaren hebben dreigingsactoren verschillende methoden gevonden om de technologie, zoals pass-the-hash en relay-aanvallen, te benutten om NTLM-hashes te extraheren voor vervolgaanvallen.
“Microsoft Windows NTLM bevat een externe besturing van bestandsnaam of padkwetsbaarheid waarmee een ongeautoriseerde aanvaller spoofing over een netwerk kan uitvoeren,” zei CISA.
In een bulletin gepubliceerd in maart zei Microsoft dat de kwetsbaarheid zou kunnen worden geactiveerd door minimale interactie met een speciaal vervaardigd .library-MS-bestand, zoals “selecteren (single-click), inspecteren (met de rechtermuisknop) of een andere actie uitvoeren dan het openen of uitvoeren van het bestand.”
De tech gigant heeft ook Rintaro Koike gecrediteerd met NTT Security Holdings, 0x6RSS en J00Sean voor het ontdekken en rapporteren van de fout.
Terwijl Microsoft CVE-2025-24054 een uitbuitbaarheidsbeoordeling van “exploitatie minder waarschijnlijk” heeft gegeven, is de beveiligingsfout sinds 19 maart volgens 19 maart in actieve uitbuiting gekomen, waardoor slechte actoren NTLM-hashes of gebruikerswachtwoorden en infiltraatsystemen kunnen lekken.
“Rond 20-21 maart 2025 richtte een campagne zich op overheids- en particuliere instellingen in Polen en Roemenië,” zei het Cybersecurity Company. “Aanvallers gebruikten MALSPAM om een Dropbox-link te distribueren met een archief dat meerdere bekende kwetsbaarheden, waaronder CVE-2025-24054, gebruikte om NTLMV2-SSP Hashes te oogsten.”
De fout wordt beoordeeld als een variant van CVE-2024-43451 (CVSS-score: 6.5), die in november 2024 door Microsoft werd gepatcht en is ook in het wild bewapend in aanvallen op Oekraïne en Colombia door bedreigingsactoren zoals UAC-0194 en Blind Eagle.
Volgens Check Point wordt het bestand gedistribueerd door middel van zip -archieven, waardoor Windows Explorer een SMB -authenticatieaanvraag aan een externe server heeft gestart en de NTLM -hash van de gebruiker lekt zonder enige gebruikersinteractie, simpelweg bij het downloaden en extraheren van de inhoud van het archief.
Dat gezegd hebbende, een andere phishing-campagne die zo recent op 25 maart 2025 is waargenomen, is gevonden dat een bestand met de naam “info.doc.library-ms” levert zonder enige compressie. Sinds de eerste golf van aanvallen zijn niet minder dan 10 campagnes waargenomen met het einddoel van het ophalen van NTLM -hashes van de beoogde slachtoffers.
“Deze aanvallen gebruikten kwaadwillende. Library-MS-bestanden om NTLMV2-hashes te verzamelen en het risico te escaleren van laterale beweging en escalatie van privileges binnen gecompromitteerde netwerken,” zei Check Point.
“Deze snelle exploitatie benadrukt de cruciale behoefte aan organisaties om patches onmiddellijk toe te passen en ervoor te zorgen dat NTLM-kwetsbaarheden in hun omgevingen worden aangepakt. De minimale gebruikersinteractie die nodig is voor de exploit om te activeren en het gemak waarmee aanvallers toegang kunnen krijgen tot NTLM-hashes, vooral wanneer dergelijke hashes kunnen worden gebruikt in pass-the-hash-aanvallen.”
Bureaus van Federal Civilian Executive Branch (FCEB) moeten de nodige oplossingen toepassen voor de tekortkoming vóór 8 mei 2025, om hun netwerken te beveiligen in het licht van actieve uitbuiting.
