CVE-2025-24054 - это уязвимость, связанная с раскрытием хэшей NTLM через подмену, которая может быть использована с помощью злонамеренно созданного файла .library-ms. Уязвимость активно эксплуатируется в дикой природе с 19 марта 2025 года, позволяя злоумышленникам получать хэши NTLM или пароли пользователей и компрометировать системы.
Описание
Несмотря на патч, выпущенный Microsoft 11 марта 2025 года, у злоумышленников было достаточно времени для создания и использования эксплойта, прежде чем уязвимость была обнаружена.
Была проведена кампания, направленная на государственные и частные учреждения в Польше и Румынии, примерно 20-21 марта 2025 года. Для распространения вредоносной программы атакующие использовали спам с ссылкой на Dropbox, содержащий архив, который использовал уязвимости, включая CVE-2025-24054, для сбора хэшей NTLMv2-SSP.
Начальное предположение заключалось в том, что эксплуатация происходила после распаковки файла .library-ms. Однако оказалось, что уязвимость может быть задействована уже при минимальном взаимодействии с пользователем, например, при нажатии правой кнопки мыши, перетаскивании или просто при переходе в папку с вредоносным файлом. Этот эксплойт является вариантом ранее устраненной уязвимости CVE-2024-43451.
NTLM (New Technology LAN Manager) - это набор протоколов аутентификации, разработанный Microsoft для проверки личности пользователя и обеспечения безопасности сетевых соединений. Первоначальная версия NTLMv1 была уязвима для атак типа "передай хэш" и "радужная таблица", поэтому была разработана версия NTLMv2, которая повышает безопасность и делает атаки с использованием предварительных вычислений неэффективными.
Microsoft выпускает обновления безопасности для устранения уязвимостей NTLM Hash Disclosure, таких как CVE-2025-24054. Одна из предыдущих уязвимостей, CVE-2024-43451, была использована в кампании, направленной на Украину. В ответ на это Microsoft выпустила патч. Однако злоумышленники уже через восемь дней после этого начали эксплуатировать уязвимость CVE-2025-24054. В последние несколько недель было замечено несколько кампаний по рассылке вредоносного спама, использующих эту уязвимость.
Индикаторы компрометации
IPv4
- 159.196.128.120
- 194.127.179.157
Emails
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
SHA1
- 054784f1a398a35e0c5242cbfa164df0c277da73
- 5e42c6d12f6b51364b6bfb170f4306c5ce608b4f
- 76e93c97ffdb5adb509c966bca22e12c4508dcaa
- 7a43c177a582c777e258246f0ba818f9e73a69ab
- 7dd0131dd4660be562bc869675772e58a1e3ac8e
- 84132ae00239e15b50c1a20126000eed29388100
- 9ca72d969d7c5494a30e996324c6c0fcb72ae1ae
