Această acțiune vine ca răspuns la rapoartele care indică o exploatare activă a vulnerabilității în mediul real. Identificată sub codul CVE-2025-24054 și având un scor CVSS de 6.5, problema constă într-o eroare de tip spoofing care permite divulgarea hash-urilor NTLM (Windows New Technology LAN Manager), un protocol de autentificare mai vechi pe care Microsoft l-a declarat depășit în favoarea Kerberos.

În ultimii ani, atacatorii au perfecționat diverse tehnici pentru a abuza de NTLM, cum ar fi atacurile de tip pass-the-hash și relay, cu scopul de a extrage hash-uri valoroase pentru a facilita atacuri ulterioare. Conform avertismentului CISA, vulnerabilitatea CVE-2025-24054 permite unui atacator neautorizat să efectueze spoofing în rețea prin intermediul unui control extern al numelui sau căii unui fișier. Microsoft a detaliat în martie că această vulnerabilitate poate fi declanșată printr-o interacțiune minimă a utilizatorului cu un fișier .library-ms special creat, cum ar fi simpla selectare, inspectare cu clic dreapta sau orice altă acțiune în afară de deschiderea sau executarea fișierului.

Deși evaluarea inițială a Microsoft sugera o probabilitate scăzută de exploatare, compania Check Point a raportat că vulnerabilitatea este exploatată activ începând cu 19 martie. Aceasta permite atacatorilor să sustragă hash-uri NTLM sau parole de utilizator, deschizând calea pentru infiltrarea sistemelor. Un exemplu concret menționat de Check Point este o campanie desfășurată în jurul datei de 20-21 martie 2025, care a vizat instituții guvernamentale și private din Polonia și România. Atacatorii au folosit emailuri malițioase (malspam) pentru a distribui linkuri Dropbox ce conțineau arhive care exploatau mai multe vulnerabilități cunoscute, inclusiv CVE-2025-24054, cu scopul de a colecta hash-uri NTLMv2-SSP.

Măsuri de protectie

Pentru a vă fortifica sistemele Windows împotriva amenințării active reprezentate de CVE-2025-24054 și pentru a preveni furtul de credențiale NTLM, vă recomandăm să implementați fără întârziere următoarele contramăsuri esențiale:

1.Asigurați-vă că toate sistemele Windows sunt actualizate: Aplicați imediat patch-ul de securitate din martie furnizat de Microsoft care adresează vulnerabilitatea CVE-2025-24054.

2.Evaluați posibilitatea dezactivării NTLM: Dacă infrastructura dvs. permite, luați în considerare tranziția la protocolul de autentificare Kerberos, mai sigur și recomandat de Microsoft.

3.Educați utilizatorii cu privire la riscurile descărcării de fișiere: Sensibilizați personalul cu privire la pericolele asociate cu descărcarea și interacțiunea cu fișiere provenite din surse nesigure, în special fișierele cu extensia .library-ms.

4.Mențineți soluțiile de securitate endpoint la zi: Verificați dacă software-ul antivirus și celelalte instrumente de securitate sunt actualizate pentru a detecta și bloca tentativele de exploatare a acestei vulnerabilități.

5.Implementați monitorizarea traficului de rețea: Utilizați instrumente de analiză a rețelei pentru a identifica orice activitate suspectă legată de autentificarea NTLM sau transferuri SMB neobișnuite.

6.Utilizați autentificare multi-factor (MFA) acolo unde este posibil: Adăugarea unui al doilea factor de autentificare poate reduce semnificativ riscul de acces neautorizat, chiar dacă hash-urile NTLM ar fi compromise.

7.Urmăriți îndeaproape avertismentele de securitate de la CISA și Microsoft: Fiți la curent cu cele mai recente informații și recomandări emise de autoritățile competente în domeniul securității cibernetice.

Pentru o înțelegere mai profundă a vulnerabilităților care afectează sistemele Windows, a mecanismelor de autentificare și a strategiilor eficiente pentru securizarea mediului dvs. IT, vă invităm să explorați articolele și resursele disponibile pe sigurantapenet.ro. Echipa noastră vă oferă informații actualizate și analize detaliate pentru a vă ajuta să vă protejați infrastructura digitală.

Sursa