Los investigadores de Check Point han descubierto una campaña masiva de ciberataques que explota una nueva vulnerabilidad en el protocolo de autenticación Windows NTLM (CVE-2025-24054). Los ataques comenzaron apenas una semana después del parche de seguridad liberado por Microsoft en marzo de 2025, aprovechando una falla que permite el robo de credenciales mediante la captura de hashes NTLM, valorada con una severidad de 6.5 en la escala CVSS.
Vector de ataque y metodología de explotación
La vulnerabilidad destaca por su simplicidad de activación: basta con que el usuario abra o haga clic derecho sobre un archivo malicioso. Los atacantes distribuyen principalmente archivos ZIP que contienen documentos .library-ms manipulados. Cuando el usuario interactúa con estos archivos, Windows Explorer inicia automáticamente una autenticación SMB hacia un servidor remoto controlado por los atacantes, comprometiendo el hash NTLM sin que la víctima lo perciba.
Alcance internacional y objetivos principales
Entre el 19 y 25 de marzo de 2025, se identificaron más de diez campañas maliciosas dirigidas a explotar esta vulnerabilidad. Los servidores de comando y control se localizaron en Australia, Bulgaria, Países Bajos, Rusia y Turquía, con un enfoque particular en instituciones gubernamentales y organizaciones privadas de Polonia y Rumania.
Impacto y técnicas de compromiso
Una vez obtenido el hash NTLM, los atacantes pueden emplear dos estrategias principales: realizar un ataque de fuerza bruta para recuperar la contraseña original o ejecutar un ataque de retransmisión (relay attack). Dependiendo del nivel de privilegios de la cuenta comprometida, los atacantes pueden moverse lateralmente por la red, escalar privilegios y potencialmente comprometer todo el dominio corporativo.
Posible vinculación con actores de amenazas avanzadas
El análisis de la infraestructura maliciosa ha revelado características coincidentes con la conocida agrupación Fancy Bear (APT28/Forest Blizzard/Sofacy). Sin embargo, los investigadores señalan que actualmente no existe evidencia concluyente para atribuir estos ataques a actores específicos.
La protección contra esta amenaza requiere acciones inmediatas: implementar los últimos parches de seguridad de Microsoft, reforzar el monitoreo de tráfico SMB y capacitar al personal en la identificación de archivos sospechosos. Las organizaciones deben priorizar la actualización de sus sistemas y la implementación de controles de seguridad adicionales para mitigar el riesgo de compromiso.
