Η εκμετάλλευση μίας ευπάθειας στο NTLM των Windows ξεκίνησε περίπου μία εβδομάδα μετά την κυκλοφορία των επιδιορθώσεων τον περασμένο μήνα, προειδοποιεί η Check Point.
Δείτε επίσης: Windows 11 24H2: Ενημέρωση ενεργοποιεί σφάλμα BSOD
Το συγκεκριμένο κενό, γνωστό ως CVE-2025-24054 (βαθμολογία CVSS 6.5), διορθώθηκε κατά το Patch Tuesday του Μαρτίου 2025 και θεωρείται μεσαίας σοβαρότητας. Θα μπορούσε να οδηγήσει σε αποκάλυψη NTLM hash, επιτρέποντας σε επιτιθέμενους να πραγματοποιήσουν spoofing επιθέσεις μέσω δικτύου.
Σύμφωνα με τη σχετική ανακοίνωση της Microsoft, η επιτυχής εκμετάλλευση της ευπάθειας απαιτεί ελάχιστη αλληλεπίδραση από τον χρήστη – αρκεί η επιλογή ή το δεξί κλικ σε ένα κακόβουλο αρχείο για να ενεργοποιηθεί.
Μία εβδομάδα μετά την κυκλοφορία των επιδιορθώσεων για την ευπάθεια CVE-2025-24054, κυβερνοεγκληματίες άρχισαν να την εκμεταλλεύονται σε επιθέσεις που στόχευαν κυβερνητικούς και ιδιωτικούς φορείς στην Πολωνία και τη Ρουμανία, αναφέρει η Check Point.
Αφού αποκαλυφθεί το NTLM hash, ένας επιτιθέμενος θα μπορούσε να πραγματοποιήσει επιθέσεις brute-force για να αποσπάσει τον κωδικό πρόσβασης του χρήστη ή να εκτελέσει relay επιθέσεις.
Ανάλογα με τα δικαιώματα του παραβιασμένου λογαριασμού, ο επιτιθέμενος θα μπορούσε στη συνέχεια να κινηθεί πλευρικά εντός του δικτύου, να κλιμακώσει τα δικαιώματά του και ενδεχομένως να θέσει σε κίνδυνο ολόκληρο το domain.
Δείτε ακόμα: Σφάλμα επανεκκίνησης του Windows Server 2025
Αν και η Microsoft δεν χαρακτηρίζει την ευπάθεια CVE-2025-24054 ως ενεργά εκμεταλλευόμενη στη σχετική ανακοίνωσή της, η Check Point παρατήρησε περίπου δώδεκα κακόβουλες εκστρατείες που την αξιοποιούσαν μεταξύ 19 και 25 Μαρτίου. Τα NTLM hashes που εξήχθησαν συλλέχθηκαν από SMB servers στην Αυστραλία, τη Βουλγαρία, την Ολλανδία, τη Ρωσία και την Τουρκία.
Ένα από τα αρχεία που περιέχονταν στο συμπιεσμένο αρχείο σχετίζεται με την ευπάθεια CVE-2024-43451, ένα σφάλμα αποκάλυψης NTLM hash στα Windows, το οποίο είχε αξιοποιηθεί ως zero-day από Ρώσους κυβερνοεγκληματίες. Ένα άλλο αρχείο παραπέμπει σε διακομιστή SMB που συνδέεται με την κρατικά υποστηριζόμενη ρωσική ομάδα APT Fancy Bear, γνωστή επίσης ως APT28, Forest Blizzard και Sofacy.
Η Check Point προειδοποιεί επίσης ότι, σε τουλάχιστον μία εκστρατεία που παρατηρήθηκε στις 25 Μαρτίου, το κακόβουλο αρχείο τύπου .library-ms διανεμήθηκε χωρίς να είναι συμπιεσμένο.
Την Πέμπτη, η αμερικανική υπηρεσία κυβερνοασφάλειας CISA πρόσθεσε την ευπάθεια CVE-2025-24054 στον κατάλογο των Γνωστών Εκμεταλλευόμενων Ευπαθειών (KEV). Σύμφωνα με την οδηγία BOD 22-01, οι ομοσπονδιακοί οργανισμοί υποχρεούνται να έχουν εφαρμόσει τις επιδιορθώσεις έως τις 8 Μαΐου. Ωστόσο, η CISA καλεί όλους τους οργανισμούς να δώσουν προτεραιότητα στην αντιμετώπιση των ευπαθειών που περιλαμβάνονται στον κατάλογο KEV.
Δείτε επίσης: Η προστασία του Windows Defender παρακάμφθηκε με τεχνικές XOR
Ένα ανησυχητικό στοιχείο είναι το γεγονός ότι οι επιτιθέμενοι αξιοποιούν ευπάθειες τύπου NTLM hash disclosure για να παρακάμψουν τη διαδικασία αυθεντικοποίησης και να αποκτήσουν πρόσβαση σε ευαίσθητους λογαριασμούς χωρίς να χρειάζεται να σπάσουν απευθείας κωδικούς. Αυτό τους επιτρέπει να κινηθούν μέσα στο δίκτυο με “νόμιμα” credentials, κάτι που καθιστά την ανίχνευσή τους πολύ πιο δύσκολη. Επιπλέον, η σύνδεση με κρατικά υποστηριζόμενες ομάδες όπως η APT28 (Fancy Bear), που είναι γνωστές για κατασκοπευτικές επιχειρήσεις και κυβερνοεπιθέσεις υψηλού προφίλ, υποδηλώνει ότι τέτοιες ευπάθειες δεν αξιοποιούνται μόνο για οικονομικά κίνητρα αλλά και για γεωπολιτικούς σκοπούς.
Πηγή: securityweek
