NTLM: утечки хэшей, CVE и рост APT‑атак

Закрепление уязвимостей аутентификации NTLM продолжает привлекать хакерские группировки: злоумышленники используют несколько отлаженных векторов атак, эксплуатирующих конструктивные ограничения протокола. От пересылки учетных данных и принудительной аутентификации до утечки хэшей и атак man-in-the-middle — все это позволяет получать доступ к критическим ресурсам без знания исходных паролей.

Почему NTLM остаётся привлекательной целью

NTLM — протокол «запрос‑ответ», используемый для аутентификации в средах Windows. Он не включает современные защитные механизмы по умолчанию, что делает возможными следующие классы атак:

• пересылка и ретрансляция учетных данных;
• атаки на основе принуждения (forcing authentication);
• утечка хэшей при автоматическом вызове аутентификации;
• MitM‑атаки и Pass‑the‑Hash‑сценарии.

«Отсутствие современных мер безопасности в протоколе NTLM делает его привлекательной мишенью для широкого спектра атак».

Основные векторы атак — как это работает

• Утечка хэша через созданные файлы и вредоносные ссылки.
  Злоумышленник размещает созданный файл или ссылку, которые вызывают автоматическую проверку подлинности NTLM на ресурсах, контролируемых атакующим. В результате хэши аутентификации становятся доступны для пассивного сбора.
• Атаки на основе принуждения (например, PetitPotam).
  Эти методы не требуют взаимодействия пользователя: инструменты вроде PetitPotam заставляют целевую систему инициировать аутентификацию к сервису злоумышленника, что позволяет перехватить и ретранслировать хэши.
• Переадресация учетных данных и Pass‑the‑Hash.
  Захваченные токены NTLM используются для выдачи себя за легитимных пользователей в других системах без знания их паролей — особенно эффективно в неправильно настроенных SSO‑сценариях.
• MitM и манипуляции аутентификацией SMB.
  После успешной аутентификации злоумышленник может провести дальнейшую эксплуатацию, в том числе повышение привилегий и распространение внутри сети.

Критические уязвимости и недавние инциденты

Ряд недавно обнаруженных уязвимостей усилил риски, связанные с NTLM:

• CVE‑2024‑43451 — может привести к утечке хэшей паролей NTLMv2 при минимальном взаимодействии с пользователем. Эта уязвимость была использована APT‑группировкой BlindEagle в целенаправленных атаках на колумбийские организации: злоумышленники доставляли модифицированный Remcos RAT через созданные файлы .url, а инфраструктура включала прямое взаимодействие с сервером WebDAV, контролируемым атакующими.
• CVE‑2025‑24054 — уязвимость, связанная с утечкой хэша NTLM в различных версиях Windows; демонстрирует, как созданные файлы могут инициировать запросы аутентификации и компрометировать учетные данные.
• CVE‑2025‑33073 — позволяет прошедшим проверку злоумышленникам манипулировать аутентификацией SMB, что приводит к повышению привилегий посредством принуждения системы жертвы к повторной аутентификации самой себя. Данная тактика была зафиксирована в подозрительной активности в финансовом секторе Узбекистана.

Кроме того, в России отмечались атаки с использованием обманчивых ZIP‑файлов, содержащих вредоносную библиотеку — файлы .ms, которые инициировали запросы аутентификации NTLM на серверах, контролируемых злоумышленниками.

Почему это опасно для организаций

• Захват NTLM‑хэшей и их ретрансляция дают злоумышленникам возможность перемещаться по сети и эскалировать привилегии.
• Атаки часто не требуют ввода пароля пользователем и могут быть полностью пассивными или автоматизированными.
• Наличие уязвимостей типа CVE делает возможным масштабирование атак и повторное использование инструментов против широкого круга целей.
• Секторные инциденты (фингросс‑атаки, атаки на финансовые и государственные структуры) показывают реальную опасность для критически важных систем.

Практические рекомендации — что нужно сделать сейчас

Организациям рекомендуется принять многоуровневый подход к снижению риска, включая технические и организационные меры:

• Патчить системы — оперативно устанавливать обновления Microsoft, исправляющие CVE‑2024‑43451, CVE‑2025‑24054, CVE‑2025‑33073 и другие уязвимости.
• Минимизировать использование NTLM — по возможности переводить аутентификацию на протоколы с современными механизмами защиты (например, Kerberos) и отключать NTLM там, где это допустимо.
• Включить SMB signing и защиту от ретрансляции — настроить политики Group Policy, чтобы требовать подпись SMB, и использовать механизмы защиты от relay‑атак.
• Ограничить исходящие NTLM‑запросы — фильтровать и блокировать исходящие соединения, которые инициируют NTLM‑аутентификацию во внешние сети (в том числе WebDAV/HTTP), особенно на неавторизованные хосты.
• Внедрить многофакторную аутентификацию (MFA) — уменьшит ценность перехваченных хэшей и токенов.
• Сегментировать сеть и применять принцип наименьших привилегий — чтобы ограничить движение злоумышленника после компрометации.
• Мониторинг и обнаружение — отслеживать аномальные запросы аутентификации, внезапное появление запросов к внешним серверам WebDAV/SMB и попытки ретрансляции хэшей.
• Обучение пользователей — фишинговые методы остаются распространённым каналом доставки; регулярное обучение и симуляции помогают снижать успешность атак.

Вывод

NTLM остаётся критической точкой уязвимости в инфраструктурах Windows — сочетание конструктивных ограничений протокола и появление эксплойтов и CVE делает его привлекательной целью для APT‑групп и киберпреступников. Организациям необходимо сочетать срочное исправление уязвимостей с системной модернизацией аутентификации и непрерывным мониторингом — только так можно существенно снизить риск компрометации данных и инфраструктуры.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.