La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó el jueves un defecto de seguridad de severidad media que impacta a Microsoft Windows a su conocido catálogo de vulnerabilidades explotadas (KEV), luego de informes de explotación activa en el salvaje.
La vulnerabilidad, asignó el identificador CVE CVE-2025-24054 (Puntuación CVSS: 6.5), es un error de falsificación de divulgación de hash de Windows New Technology Manager (NTLM) que Microsoft parcheado el mes pasado como parte de sus actualizaciones del martes de parche.
NTLM es un protocolo de autenticación heredado que Microsoft se desactivó oficialmente el año pasado a protección de Kerberos. En los últimos abriles, los actores de amenaza han contrario varios métodos para explotar la tecnología, como los ataques de pases y relevos, para extraer hashes NTLM para ataques de seguimiento.
“Microsoft Windows NTLM contiene un control foráneo del nombre del archivo o la vulnerabilidad de la ruta que permite que un atacante no calificado realice una suplantación de suplicación en una red”, dijo CISA.
En un boletín publicado en marzo, Microsoft dijo que la vulnerabilidad podría activarse mediante una interacción mínima con un archivo .library-MS especialmente primoroso, como “elegir (hacer clic único), inspeccionar (hacer clic derecho) o realizar una entusiasmo que no sea cascar o ejecutar el archivo”.
El coloso tecnológico además acreditó a Rintaro Koike con NTT Security Holdings, 0x6RSS y J00Sean por descubrir e informar la error.
Mientras que Microsoft le ha hexaedro a CVE-2025-24054 una evaluación de explotabilidad de la “explotación menos probable”, la error de seguridad ha sido de explotación activa desde el 19 de marzo, por punto de demostración, lo que permite que los actores malos filtren los hashes NTLM o las contraseñas de los usuarios e infiltrados.
“Aproximadamente del 20 al 21 de marzo de 2025, una campaña dirigida a instituciones gubernamentales y privadas en Polonia y Rumania”, dijo la compañía de seguridad cibernética. “Los atacantes usaron Malspam para distribuir un enlace de Dropbox que contiene un archivo que explotó múltiples vulnerabilidades conocidas, incluida CVE-2025-24054, para cosechar hashes NTLMV2-SSP”.
Se evalúa que la error es una reforma de CVE-2024-43451 (puntaje CVSS: 6.5), que fue parcheado por Microsoft en noviembre de 2024 y además ha sido armado en la naturaleza en ataques dirigidos a Ucrania y Colombia por actores de amenaza como UAC-0194 y Blind Eagle.
Según Check Point, el archivo se distribuye mediante archivos zip, lo que hace que Windows Explorer inicie una solicitud de autenticación SMB a un servidor remoto y filtre el hash NTLM del favorecido sin ninguna interacción del favorecido simplemente al descargar y extraer los contenidos del archivo.
Dicho esto, se ha contrario otra campaña de phishing observada tan recientemente como el 25 de marzo de 2025, se ha contrario que entrega un archivo llamado “info.doc.library-ms” sin ninguna compresión. Desde la primera ola de ataques, se han observado no menos de 10 campañas con el objetivo final de recuperar hashes NTLM de las víctimas objetivo.
“Estos ataques aprovecharon los archivos Maliciosos .library-MS para compendiar hashes NTLMV2 y aumentar el peligro de movimiento pegado y la ascenso de privilegios en el interior de las redes comprometidas”, dijo Check Point.
“Esta rápida explotación destaca la falta crítica de que las organizaciones apliquen parches de inmediato y garanticen que las vulnerabilidades de NTLM se aborden en sus entornos. La interacción mínima del favorecido requerida para que la exploit se desencadene y la facilidad con la que los atacantes pueden obtener comunicación a los hashes NTLM lo convierten en una amenaza significativa, especialmente cuando tales hashes pueden estilarse en los ataques de pases de pasos”.
Se requiere que las agencias de la rama ejecutiva civil federal (FCEB) apliquen las soluciones necesarias para la deficiencia ayer del 8 de mayo de 2025, para apoyar sus redes a la luz de la explotación activa.
