Los ciberdelincuentes están explotando activamente una vulnerabilidad crítica en los sistemas de Windows identificados como CVE-2025-24054. Esta vulnerabilidad aprovecha la divulgación de hash NTLM a través de la tecnología de falsificación.
Esta vulnerabilidad relacionada con el nuevo protocolo de autenticación del gerente de LAN de tecnología (NTLM) puede ser una amenaza grave, lo que permite que un atacante filene un hash NTLM, potencialmente aumentando los privilegios o moverse de lado dentro de una red comprometida.
NTLM es un conjunto de protocolos de autenticación desarrollados por Microsoft que valida la identidad del usuario y asegura las comunicaciones de red. NTLMV2 ofrece una seguridad mejorada en versiones anteriores, pero aún existen vulnerabilidades, especialmente cuando los atacantes pueden manipular cómo se envían o divulgarán hashes.
CVE-2025-24054 En particular, contiene un control externo de los nombres o rutas de archivo de Windows, lo que permite a los actores maliciosos activar solicitudes de autenticación SMB (bloque de mensajes del servidor).
Microsoft lanzó un parche de seguridad para CVE-2025-24054 el 11 de marzo de 2025. Cuando un usuario extrae un archivo ZIP que contiene un archivo .library-MS malicioso, se activa una falla cuando Windows Explorer inicia una solicitud de autenticación SMB al servidor remoto.
Este proceso inadvertidamente filtra el hash NTLM del usuario, lo que permite al atacante capturar para una actividad aún más maliciosa. En particular, los exploits se pueden activar con una interacción mínima del usuario, como hacer clic derecho, arrastrar, soltar o simplemente moverse a una carpeta que contiene archivos maliciosos.
Explotación activa de vulnerabilidades salvajes
A pesar del parche, los actores de amenaza comenzaron a explotar CVE-2025-24054 a los pocos días de su lanzamiento. La encuesta de Checkpoint observó por primera vez una campaña maliciosa que explotó este defecto alrededor del 20 al 21 de marzo de 2025.
Estas campañas se dirigieron a gobiernos e instituciones privadas principalmente en Polonia y Rumania, utilizando correos electrónicos de lanzamiento de lanza que contienen archivos zip y archivos maliciosos integrados.
Check Point le dijo a Cyber Security News que si las víctimas descargan e intercambian estos archivos, como desabrocharlos o hacer clic en ellos, desencadena los exploits, lo que lleva a fugas de NTLM Hasht.
El archivo malicioso contiene archivos como los archivos .library-MS, .URL, .WEBSITE y .LNK, todos diseñados para iniciar una conexión SMB a un servidor de control del atacante. Estas conexiones exponen el hash NTLMV2-SSP y pueden ser utilizados por los atacantes para usarlas para ataques con hash, ataques de retransmisión o privilegios intensos dentro de la red.
NTLMV2-SSP hash
La campaña parece ser muy objetivo, con su objetivo principal de cosechar el hash NTLM y su uso posterior en movimientos laterales y escaladas de privilegios.
Los hashes recolectados fueron enviados a servidores de SMB maliciosos organizados en varios países, incluidos Rusia, Bulgaria, los Países Bajos, Australia y Türkiye. El uso de tales tecnologías subraya el refinamiento de los actores de amenaza que se cree que están vinculados a grupos de apoyo nacionales altamente competentes.
Una campaña notable involucró la distribución de archivos maliciosos a través de enlaces de correo electrónico desde Dropbox.
La campaña se centró en las agencias gubernamentales en Polonia y Rumania destaca la importancia geopolítica y la posibilidad de espiar o sabotear.
Exploit depende de procesar un archivo zip que contenga archivos maliciosos en Windows Explorer. Cuando un usuario extrae dicho archivo, Windows iniciará una solicitud de autenticación SMB al servidor remoto especificado en el archivo malicioso.
Estas solicitudes filtran el hash NTLMV2-SSP sin la necesidad de una interacción generalizada del usuario, lo que hace que el ataque sea particularmente insidioso. Los atacantes pueden usar estos hash para autenticarse como un usuario legítimo con altos privilegios, lo que permite el movimiento lateral y el compromiso de la red.
alivio
El parche rápido de CVE-2025-24054 de Microsoft fue un paso importante. Sin embargo, la explotación rápida indica que las organizaciones deben actuar rápidamente para mitigar el riesgo. Las recomendaciones importantes son:
Parche inmediatamente: asegúrese de que todos los sistemas afectados se actualicen a los últimos parches de seguridad. Defensa de red mejorada: implementar firmas de SMB, protección de retransmisión, monitorear el tráfico de SMB y monitorear la actividad anómala. Percepción del usuario: educar a los usuarios sobre el riesgo de abrir archivos no confiables o hacer clic en archivos sospechosos. Segmentación de red: restringe el tráfico de SMB entre segmentos para reducir las superficies de ataque. Auditorías de seguridad regulares: realizar evaluaciones de vulnerabilidad y monitorear los signos de compromiso.
La explotación de CVE-2025-24054 ilustra cómo los atacantes pueden aprovechar la manipulación de archivos aparentemente benigna para filtrar los hashes sensibles a la autenticación y promover una infiltración más profunda en la red objetivo.
La transición rápida de las liberaciones de parche a la explotación agresiva subraya la importancia de las respuestas rápidas y las medidas de seguridad proactivas.
A medida que los actores de amenaza continúan refinando sus tácticas, las organizaciones deben priorizar el parcheo oportuno, la seguridad de la red robusta y la educación de los usuarios para proteger contra tan sofisticados ataques de divulgación y divulgación de hash.
Informe de tendencia de malware 15,000 incidentes del equipo SOC, trimestre de 2025! -> Obtenga una copia gratis
