NTLM kihasználás
A CVE-2025-24054 azonosítójú sebezhetőség egy NTLM hash kiszivárogtatási hiba a Windows rendszerben, amelyet már aktívan kihasználnak. A támadók rosszindulatúan kialakított .library-ms fájlokat használnak, amelyek minimális felhasználói interakcióval – például a fájl kiválasztásával vagy a mappába való navigálással – kiváltják az SMB hitelesítési kérést egy támadó által vezérelt szerver felé, így kiszivárogtatva az NTLMv2-SSP hash-eket.
A Check Point Research jelentése szerint a sebezhetőséget a Microsoft 2025. március 11-én javította, de a támadók már március 19-től aktívan kihasználták, különösen Lengyelország és Románia kormányzati és magánintézményei ellen. A támadások során adathalász e-maileket használtak, amelyek Dropbox linkeket tartalmaztak, és ezek a tömörített fájlok több ismert sebezhetőséget, köztük a CVE-2025-24054-et is kihasználó fájlokat tartalmaztak.
A támadók célja az NTLM hash-ek megszerzése, amelyeket később brute-force támadásokhoz vagy NTLM relay támadásokhoz használhatnak fel, lehetővé téve a hálózaton belüli oldalirányú mozgást és jogosultságok kiterjesztését. A támadások során használt SMB szerverek több országban, például Oroszországban, Bulgáriában, Hollandiában, Ausztráliában és Törökországban találhatók.
