A vulnerabilidade, atribuída ao identificador CVE CVE-2025-24054 (pontuação CVSS: 6.5), é um erro de divulgação de divulgação do Windows New Technology LAN Manager (NTLM) que foi corrigido pela Microsoft no mês passado como parte de suas atualizações de terça-feira de patch.

O NTLM é um protocolo de autenticação legado que a Microsoft desobstruiu oficialmente no ano passado em favor de Kerberos. Nos últimos anos, os agentes de ameaças encontraram vários métodos para explorar a tecnologia, como ataques de retransmissão e retransmissão, para extrair hashes NTLM para ataques subsequentes.

“O Microsoft Windows NTLM contém um controle externo de nome de arquivo ou vulnerabilidade de caminho que permite que um invasor não autorizado execute falsificação por uma rede”, disse a CISA.

Em um boletim publicado em março, a Microsoft disse que a vulnerabilidade pode ser acionada por interação mínima com um arquivo .library-ms especialmente criado, como "selecionar (clique de solteiro), inspecionar (clique com o botão direito) ou executar uma ação diferente de abrir ou executar o arquivo".

A gigante da tecnologia também creditou Rintaro Koike com NTT Security Holdings, 0x6rss e j00sean por descobrir e relatar a falha.

Embora a Microsoft tenha dado ao CVE-2025-24054 uma avaliação de exploração de "Exploitation Less Likely", a falha de segurança desde então está sob exploração ativa a partir de 19 de março, de acordo com o Check Point, permitindo que os maus atores vazem hashes ou senhas de usuários e se infiltrem em sistemas.

“Por volta de 20 de março a 2025, uma campanha visava instituições governamentais e privadas na Polônia e na Romênia”, disse a empresa de segurança cibernética. Os atacantes usaram o malspam para distribuir um link do Dropbox contendo um arquivo que explorava várias vulnerabilidades conhecidas, incluindo o CVE-2025-24054, para colher hashes NTLMv2-SSP.

A falha é avaliada como uma variante do CVE-2024-43451 (pontuação CVSS: 6.5), que foi remendada pela Microsoft em novembro de 2024 e também foi armada na natureza em ataques contra a Ucrânia e a Colômbia por agentes de ameaças como UAC-0194 e Blind Eagle.

De acordo com o Check Point, o arquivo é distribuído por meio de arquivos ZIP, fazendo com que o Windows Explorer inicie uma solicitação de autenticação SMB para um servidor remoto e vaze o hash NTLM do usuário sem qualquer interação do usuário simplesmente ao baixar e extrair o conteúdo do arquivo.

Dito isto, outra campanha de phishing observada em 25 de março de 2025 foi encontrada entregando um arquivo chamado "Info.doc.library-ms" sem qualquer compressão. Desde a primeira onda de ataques, nada menos que 10 campanhas foram observadas com o objetivo final de recuperar hashes NTLM das vítimas-alvo.

“Esses ataques alavancaram arquivos maliciosos de .bibliotecas para coletar hashes NTLMv2 e aumentar o risco de escalada de movimento lateral e privilégio dentro de redes comprometidas”, disse a Check Point.

“Essa rápida exploração destaca a necessidade crítica de as organizações aplicar patches imediatamente e garantir que as vulnerabilidades NTLM sejam abordadas em seus ambientes. A interação mínima do usuário necessária para o exploit acionado e a facilidade com que os invasores podem ter acesso aos hashes NTLM o tornam uma ameaça significativa, especialmente quando esses hashes podem ser usados em ataques pass-the-hash.

As agências do Federal Civil Executive Branch (FCEB) devem aplicar as correções necessárias para a deficiência até 8 de maio de 2025, para proteger suas redes à luz da exploração ativa.