Специалисты компании Check Point зафиксировали масштабную кампанию по эксплуатации недавно обнаруженной уязвимости Windows NTLM (CVE-2025-24054). Активная фаза атак началась всего через неделю после выпуска Microsoft патчей безопасности в марте 2025 года. Уязвимость, получившая оценку 6,5 по шкале CVSS, позволяет злоумышленникам похищать аутентификационные данные пользователей Windows путем кражи NTLM-хешей.
Механизм эксплуатации уязвимости
Особую опасность представляет простота активации уязвимости — достаточно, чтобы пользователь просто открыл или кликнул правой кнопкой мыши по вредоносному файлу. Наиболее распространенный вектор атаки заключается в распространении ZIP-архивов, содержащих малициозные файлы формата .library-ms. При взаимодействии с таким файлом Windows Explorer автоматически инициирует SMB-аутентификацию на удаленный сервер, что приводит к компрометации NTLM-хеша без ведома пользователя.
Масштаб и география атак
В период с 19 по 25 марта 2025 года исследователи выявили более десяти вредоносных кампаний, нацеленных на эксплуатацию CVE-2025-24054. Похищенные NTLM-хеши передавались на командные серверы, расположенные в Австралии, Болгарии, Нидерландах, России и Турции. Особое внимание злоумышленники уделили государственным учреждениям и частным организациям в Польше и Румынии.
Тактика злоумышленников и потенциальные риски
Получив доступ к NTLM-хешу, атакующие могут применить два основных сценария: провести брутфорс-атаку для восстановления пароля или организовать relay-атаку. В зависимости от уровня привилегий скомпрометированной учетной записи, злоумышленники получают возможность для латерального движения по сети, повышения привилегий и потенциальной компрометации всего домена.
Связь с APT-группировками
Исследователи обнаружили, что часть вредоносной инфраструктуры имеет признаки, характерные для известной APT-группировки Fancy Bear (APT28/Forest Blizzard/Sofacy). Однако на данный момент недостаточно доказательств для однозначной атрибуции атак конкретным threat-акторам.
В свете активной эксплуатации уязвимости критически важно незамедлительно установить последние обновления безопасности Microsoft. Организациям также рекомендуется усилить мониторинг сетевой активности, особенно связанной с SMB-запросами, и провести дополнительное обучение сотрудников по вопросам информационной безопасности при работе с файлами из непроверенных источников.
