СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
26 ноября
#ИБ

NTLM: уязвимости, утечка хэшей и атаки APT

Закрепление уязвимостей аутентификации NTLM продолжает привлекать киберпреступные группировки. Несмотря на наличие более современных механизмов аутентификации, NTLM — протокол «запрос‑ответ», широко используемый в средах Windows — уязвим к ряду широко известных методов эксплойта. Последние инциденты показывают: злоумышленники комбинируют устаревшие конструктивные особенности протокола с новыми уязвимостями и социально-инженерными приёмами, чтобы похищать хэши, переадресовывать учетные данные и получать повышение привилегий.

Чем опасен NTLM

NTLM не предусматривает многих современных мер безопасности, что делает его уязвимым к нескольким классам атак:

  • Пересылка учетных данных (credential forwarding) — злоумышленник ретранслирует ранее захваченные токены NTLM в другие сервисы, выдавая себя за пользователя;
  • Атаки на основе принуждения (coercion) — инструменты вроде PetitPotam заставляют систему-цель инициировать аутентификацию к серверу злоумышленника, что позволяет перехватить данные аутентификации без участия пользователя;
  • Утечка хэша (hash leakage) — при открытии созданных файлов или переходе по вредоносным ссылкам происходит автоматическая проверка подлинности NTLM к ресурсам, контролируемым злоумышленником, что даёт возможность пассивно собрать NTLM-хэши;
  • Man‑in‑the‑middle (MitM) — перехват и модификация аутентификационных потоков в сетях с недостаточной защитой;
  • Pass‑the‑Hash — использование захваченных хэшей NTLM для аутентификации в других системах без знания оригинального пароля.

Недавние уязвимости и реальные атаки

Последние года принесли несколько критических уязвимостей и кампаний, которые иллюстрируют угрозу NTLM в полевых условиях.

  • CVE‑2024‑43451 — уязвимость, позволяющая утечку хэшей паролей NTLMv2 при минимальном взаимодействии с пользователем. Эта уязвимость была задействована в атаке APT‑группировки BlindEagle, нацеленной на колумбийские организации: злоумышленники использовали фишинг для доставки модифицированного Remcos RAT через созданные файлы .url. Инфраструктура позволяла прямое взаимодействие с сервером WebDAV, контролируемым злоумышленниками.
  • CVE‑2025‑24054 — демонстрирует, как созданные файлы могут инициировать запросы аутентификации и компрометировать NTLM‑учётные данные. В ряде атак в России наблюдалось использование обманчивых ZIP‑архивов, содержащих вредоносные объекты — «ms files», которые инициировали NTLM‑аутентификацию на серверах, контролируемых злоумышленниками.
  • CVE‑2025‑33073 — уязвимость, позволяющая злоумышленникам, уже прошедшим аутентификацию, манипулировать процессом аутентификации SMB, что может привести к повышению привилегий за счёт принуждения системы жертвы к повторной аутентификации самой себя. Эксплуатация этой уязвимости отмечалась в подозрительной активности, направленной на финансовый сектор Узбекистана.

«Отсутствие современных мер защиты в NTLM делает его идеальной целью для комбинации старых техник (например, Pass‑the‑Hash) и новых векторов доставки через .url, WebDAV и созданные файлы», — поясняют аналитики по кибербезопасности.

Типичные тактики злоумышленников

На практике злоумышленники часто объединяют несколько подходов:

  • фишинг для доставки специально подготовленных файлов (.url, ms, ZIP);
  • использование WebDAV‑серверов под контролем атакующего для вынуждения машин жертвы к NTLM‑аутентификации;
  • эксплуатация уязвимостей (CVE) для пассивного сбора NTLM‑хэшей;
  • ретрансляция собранных хэшей в рамках Pass‑the‑Hash атак для горизонтального перемещения и эскалации привилегий;
  • комбинирование с удалёнными RAT (например, Remcos RAT) для установки бэкдоров и долгосрочной персистентности.

Рекомендации по защите

Организациям и администраторам информационной безопасности следует принять многоуровневые меры для снижения риска:

  • минимизировать или отключить использование NTLM, где это возможно; переходить на Kerberos и современные механизмы аутентификации;
  • применять последние патчи и обновления, закрывающие CVE‑уязвимости (включая CVE‑2024‑43451, CVE‑2025‑24054, CVE‑2025‑33073);
  • включить и принудительно применять SMB signing, LDAP signing и Extended Protection для аутентификации;
  • ограничивать исходящие подключения к внешним HTTP/SMB/WebDAV‑серверов и блокировать аутентификацию к неизвестным ресурсам;
  • внедрять многофакторную аутентификацию (MFA) и ограничивать использование сервисных учётных записей с высокими привилегиями;
  • мониторить и детектировать аномалии: массовые запросы аутентификации, попытки принуждения (наплыв запросов с использованием PetitPotam и подобных), появление подозрительных .url и ms‑файлов;
  • повышать осведомлённость сотрудников по фишинговым рискам и безопасному обращению с вложениями и ссылками.

Вывод

NTLM остаётся одним из узких мест в безопасности Windows‑сред. Современные злоумышленники эффективно сочетают старые приёмы и новые уязвимости, чтобы похищать хэши, переадресовывать учетные данные и повышать привилегии в целевых сетях. Комплексная стратегия — обновления, конфигурационные ограничения, сетевые фильтры и повышение осведомлённости — необходима для снижения этих рисков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: