СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
17.04.2025
#ИБ#Инфра

Критическая уязвимость CVE-2025-24054 угрожает безопасности NTLM

Критическая уязвимость CVE-2025-24054 угрожает безопасности NTLM

В последние годы киберугрозы становятся все более серьезными, и одна из самых опасных уязвимостей, зафиксированных в 2025 году, называется CVE-2025-24054. Эта критическая уязвимость позволяет злоумышленникам раскрывать хэши NTLM методом подмены, что создает риск компрометации систем и утечки паролей пользователей.

Суть уязвимости

Уязвимость была впервые обнаружена 19 марта 2025 года, всего через несколько дней после того, как Microsoft выпустила патч 11 марта 2025 года. Эксплойт требует минимального взаимодействия с пользователем и может быть активирован простым щелчком правой кнопки мыши или переходом к папке с вредоносным файлом.

Важные моменты по эксплойту:

  • Раскрой хэшей NTLM или паролей пользователей.
  • Запуск атаки возможен без значительных действий со стороны пользователя.
  • Первоначальные цели — государственные и частные учреждения в Польше и Румынии.

Методы распространения

Вредоносные кампании использовали спам-рассылки с ссылками на архивы, размещенные в Dropbox. Путем загрузки и извлечения архивов пользователи непреднамеренно запускали эксплойт. Первая известная кампания связана с файлом “xd.zip”, который содержал вредоносные элементы для эксплуатации уязвимости.

Злоумышленники также нацеливались на сбор хэшей NTLMv2-SSP, используя скомпрометированные SMB-серверы в таких странах, как Россия и Болгария.

Потенциальные последствия

NTLM (New Technology LAN Manager) — это протокол аутентификации Microsoft, который претерпел несколько модификаций. Хотя NTLMv2 значительно увеличил уровень безопасности, захваченные хэши могут быть использованы для автономных атак:

  • Метод перебора.
  • Ретрансляция аутентификационных данных.

Такие атаки могут быть особенно опасны, если злоумышленники используют учетные данные привилегированных пользователей для горизонтального перемещения по сети.

Растущая изощренность атак

Методология атак показывает, что хакеры становятся все более изощренными. Они используют как ранее исправленные уязвимости, так и только что обнаруженные бреши, включая CVE-2025-24054. Архитектура атак свидетельствует о способности злоумышленников быстро адаптироваться к новым уязвимостям, что подчеркивает необходимость эффективных стратегий управления исправлениями.

Учитывая, что некоторые способы эксплуатации не требуют непосредственных действий пользователя, организации должны быть в курсе рисков и обеспечивать быстрое реагирование для снижения вероятности успешных взломов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: