La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó el jueves un defecto de seguridad de severidad media que impacta a Microsoft Windows a su conocido catálogo de vulnerabilidades explotadas (KEV), luego de informes de explotación activa en el salvaje.
La vulnerabilidad, asignó el identificador CVE CVE-2025-24054 (Puntuación CVSS: 6.5), es un error de falsificación de divulgación de hash de Windows New Technology Manager (NTLM) que Microsoft parcheado el mes pasado como parte de sus actualizaciones del martes de parche.
NTLM es un protocolo de autenticación heredado que Microsoft se desactivó oficialmente el año pasado a favor de Kerberos. En los últimos años, los actores de amenaza han encontrado varios métodos para explotar la tecnología, como los ataques de pases y relevos, para extraer hashes NTLM para ataques de seguimiento.
«Microsoft Windows NTLM contiene un control externo del nombre del archivo o la vulnerabilidad de la ruta que permite que un atacante no autorizado realice una suplantación de suplicación en una red», dijo CISA.
En un boletín publicado en marzo, Microsoft dijo que la vulnerabilidad podría activarse mediante una interacción mínima con un archivo .library-MS especialmente elaborado, como «seleccionar (hacer clic único), inspeccionar (hacer clic derecho) o realizar una acción que no sea abrir o ejecutar el archivo».
El gigante tecnológico también acreditó a Rintaro Koike con NTT Security Holdings, 0x6RSS y J00Sean por descubrir e informar la falla.
Mientras que Microsoft le ha dado a CVE-2025-24054 una evaluación de explotabilidad de la «explotación menos probable», la falla de seguridad ha sido de explotación activa desde el 19 de marzo, por punto de verificación, lo que permite que los actores malos filtren los hashes NTLM o las contraseñas de los usuarios e infiltrados.
«Alrededor del 20 al 21 de marzo de 2025, una campaña dirigida a instituciones gubernamentales y privadas en Polonia y Rumania», dijo la compañía de seguridad cibernética. «Los atacantes usaron Malspam para distribuir un enlace de Dropbox que contiene un archivo que explotó múltiples vulnerabilidades conocidas, incluida CVE-2025-24054, para cosechar hashes NTLMV2-SSP».
Se evalúa que la falla es una variante de CVE-2024-43451 (puntaje CVSS: 6.5), que fue parcheado por Microsoft en noviembre de 2024 y también ha sido armado en la naturaleza en ataques dirigidos a Ucrania y Colombia por actores de amenaza como UAC-0194 y Blind Eagle.
Según Check Point, el archivo se distribuye mediante archivos zip, lo que hace que Windows Explorer inicie una solicitud de autenticación SMB a un servidor remoto y filtre el hash NTLM del usuario sin ninguna interacción del usuario simplemente al descargar y extraer los contenidos del archivo.
Dicho esto, se ha encontrado otra campaña de phishing observada tan recientemente como el 25 de marzo de 2025, se ha encontrado que entrega un archivo llamado «info.doc.library-ms» sin ninguna compresión. Desde la primera ola de ataques, se han observado no menos de 10 campañas con el objetivo final de recuperar hashes NTLM de las víctimas objetivo.
«Estos ataques aprovecharon los archivos Maliciosos .library-MS para recopilar hashes NTLMV2 y aumentar el riesgo de movimiento lateral y la escalada de privilegios dentro de las redes comprometidas», dijo Check Point.
«Esta rápida explotación destaca la necesidad crítica de que las organizaciones apliquen parches de inmediato y garanticen que las vulnerabilidades de NTLM se aborden en sus entornos. La interacción mínima del usuario requerida para que la exploit se desencadene y la facilidad con la que los atacantes pueden obtener acceso a los hashes NTLM lo convierten en una amenaza significativa, especialmente cuando tales hashes pueden usarse en los ataques de pases de pasos».
Se requiere que las agencias de la rama ejecutiva civil federal (FCEB) apliquen las soluciones necesarias para la deficiencia antes del 8 de mayo de 2025, para asegurar sus redes a la luz de la explotación activa.