Security-Experten von Check Point haben eine weitreichende Angriffskampagne aufgedeckt, die eine neu entdeckte Schwachstelle im Windows NTLM-Authentifizierungssystem (CVE-2025-24054) ausnutzt. Die Angriffe begannen nur eine Woche nach der Veröffentlichung des Microsoft-Sicherheitspatches im März 2025. Die mit einem CVSS-Score von 6,5 bewertete Schwachstelle ermöglicht Angreifern den Diebstahl von Windows-Authentifizierungsdaten durch die Extraktion von NTLM-Hashes.
Technische Details zur Schwachstelle
Die besondere Brisanz der Sicherheitslücke liegt in ihrer einfachen Ausnutzbarkeit. Ein einzelner Klick auf eine präparierte Datei genügt, um den Angriff auszulösen. Die Cyberkriminellen verbreiten hauptsächlich manipulierte ZIP-Archive mit .library-ms-Dateien. Sobald ein Nutzer mit diesen Dateien interagiert, initiiert der Windows Explorer automatisch eine SMB-Authentifizierung gegenüber einem vom Angreifer kontrollierten Server, wodurch der NTLM-Hash kompromittiert wird.
Internationale Dimension der Angriffskampagne
Die Analyse der Angriffswelle zwischen dem 19. und 25. März 2025 offenbarte über zehn separate Malware-Kampagnen. Die Command-and-Control-Server der Angreifer wurden in fünf Ländern lokalisiert: Australien, Bulgarien, den Niederlanden, Russland und der Türkei. Besonders im Fokus standen dabei Regierungseinrichtungen und Unternehmen in Polen und Rumänien.
Angriffsszenarien und Risikopotenzial
Nach erfolgreicher Kompromittierung eines NTLM-Hashes stehen den Angreifern zwei Hauptoptionen zur Verfügung: Sie können entweder durch Brute-Force-Angriffe das ursprüngliche Passwort wiederherstellen oder Relay-Attacken durchführen. Je nach Berechtigungsstufe des kompromittierten Accounts können Angreifer sich lateral im Netzwerk bewegen und möglicherweise die gesamte Domäne kompromittieren.
Verbindungen zu APT-Gruppen
Die Analyse der Angriffsmuster und der verwendeten Infrastruktur deutet auf mögliche Verbindungen zur APT-Gruppe Fancy Bear (APT28/Forest Blizzard/Sofacy) hin. Allerdings reichen die vorhandenen Beweise derzeit nicht für eine eindeutige Zuordnung aus.
Angesichts der akuten Bedrohungslage ist die sofortige Installation der verfügbaren Microsoft-Sicherheitsupdates von höchster Priorität. Organisationen sollten zusätzlich ihre Netzwerküberwachung intensivieren, insbesondere im Hinblick auf verdächtige SMB-Verbindungen. Ergänzend empfiehlt sich eine Sensibilisierung der Mitarbeiter für den sicheren Umgang mit Dateien aus unbekannten Quellen sowie die Implementierung mehrstufiger Authentifizierungsmechanismen zum Schutz kritischer Systeme.
