La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó el jueves un defecto de seguridad de severidad media que impacta a Microsoft Windows a su conocido catálogo de vulnerabilidades explotadas (KEV), luego de informes de explotación activa en el salvaje.
La vulnerabilidad, asignó el identificador CVE CVE-2025-24054 (Puntuación CVSS: 6.5), es un error de falsificación de divulgación de hash de Windows New Technology Manager (NTLM) que Microsoft parcheado el mes pasado como parte de sus actualizaciones del martes de parche.
NTLM es un protocolo de autenticación heredado que Microsoft se desactivó oficialmente el año pasado a cortesía de Kerberos. En los últimos primaveras, los actores de amenaza han enemigo varios métodos para explotar la tecnología, como los ataques de pases y relevos, para extraer hashes NTLM para ataques de seguimiento.
«Microsoft Windows NTLM contiene un control extranjero del nombre del archivo o la vulnerabilidad de la ruta que permite que un atacante no competente realice una suplantación de suplicación en una red», dijo CISA.
En un boletín publicado en marzo, Microsoft dijo que la vulnerabilidad podría activarse mediante una interacción mínima con un archivo .library-MS especialmente cuidado, como «aspirar (hacer clic único), inspeccionar (hacer clic derecho) o realizar una batalla que no sea aclarar o ejecutar el archivo».
El coloso tecnológico todavía acreditó a Rintaro Koike con NTT Security Holdings, 0x6RSS y J00Sean por descubrir e informar la descompostura.
Mientras que Microsoft le ha poliedro a CVE-2025-24054 una evaluación de explotabilidad de la «explotación menos probable», la descompostura de seguridad ha sido de explotación activa desde el 19 de marzo, por punto de comprobación, lo que permite que los actores malos filtren los hashes NTLM o las contraseñas de los usuarios e infiltrados.
«Cerca de del 20 al 21 de marzo de 2025, una campaña dirigida a instituciones gubernamentales y privadas en Polonia y Rumania», dijo la compañía de seguridad cibernética. «Los atacantes usaron Malspam para distribuir un enlace de Dropbox que contiene un archivo que explotó múltiples vulnerabilidades conocidas, incluida CVE-2025-24054, para cosechar hashes NTLMV2-SSP».
Se evalúa que la descompostura es una variable de CVE-2024-43451 (puntaje CVSS: 6.5), que fue parcheado por Microsoft en noviembre de 2024 y todavía ha sido armado en la naturaleza en ataques dirigidos a Ucrania y Colombia por actores de amenaza como UAC-0194 y Blind Eagle.
Según Check Point, el archivo se distribuye mediante archivos zip, lo que hace que Windows Explorer inicie una solicitud de autenticación SMB a un servidor remoto y filtre el hash NTLM del heredero sin ninguna interacción del heredero simplemente al descargar y extraer los contenidos del archivo.
Dicho esto, se ha enemigo otra campaña de phishing observada tan recientemente como el 25 de marzo de 2025, se ha enemigo que entrega un archivo llamado «info.doc.library-ms» sin ninguna compresión. Desde la primera ola de ataques, se han observado no menos de 10 campañas con el objetivo final de recuperar hashes NTLM de las víctimas objetivo.
«Estos ataques aprovecharon los archivos Maliciosos .library-MS para compilar hashes NTLMV2 y aumentar el peligro de movimiento adyacente y la ascensión de privilegios interiormente de las redes comprometidas», dijo Check Point.
«Esta rápida explotación destaca la exigencia crítica de que las organizaciones apliquen parches de inmediato y garanticen que las vulnerabilidades de NTLM se aborden en sus entornos. La interacción mínima del heredero requerida para que la exploit se desencadene y la facilidad con la que los atacantes pueden obtener paso a los hashes NTLM lo convierten en una amenaza significativa, especialmente cuando tales hashes pueden estilarse en los ataques de pases de pasos».
Se requiere que las agencias de la rama ejecutiva civil federal (FCEB) apliquen las soluciones necesarias para la deficiencia antiguamente del 8 de mayo de 2025, para apuntalar sus redes a la luz de la explotación activa.
