Експерти Check Point попереджають, що експлуатація нової вразливості Windows NTLM розпочалася приблизно через тиждень після випуску патчів минулого місяця.

Йдеться про вразливість CVE-2025-24054 (6,5 бала за шкалою CVSS), яку було усунуто в рамках березневого вівторка оновлень 2025 року. Ця проблема призводить до розкриття хеша NTLM, що дає змогу зловмисникам здійснювати спуфінг-атаки.

За даними Microsoft, успішна експлуатація цього бага вимагає мінімальної участі з боку користувача. Так, спровокувати спрацьовування уразливості може простий вибір шкідливого файлу або клік по ньому правою кнопкою миші.

Як тепер повідомили аналітики Check Point, лише за тиждень після виходу патчів для CVE-2025-24054 зловмисники почали використовувати вразливість в атаках на державні установи та приватні організації в Польщі та Румунії.

“Вразливість проявляється, якщо користувач розпаковує ZIP-архів, що містить шкідливий файл .library-ms. Ця подія спонукає Windows Explorer ініціювати запит SMB-аутентифікації на віддалений сервер і, як наслідок, призводить до витоку NTLM-хеша користувача без його участі”, – пишуть експерти.

Після розкриття NTLM-хеша зловмисники можуть провести брутфорс-атаку для отримання пароля користувача або організувати relay-атаку. Залежно від привілеїв скомпрометованого облікового запису, хакери отримують можливість переміщатися мережею, підвищувати свої привілеї і, ймовірно, можуть скомпрометувати домен загалом.

Хоча Microsoft поки що не повідомляла про те, що CVE-2025-24054 експлуатують хакери, за словами дослідників, у період із 19 до 25 березня було виявлено понад десять шкідливих кампаній, спрямованих на цю вразливість. NTLM-хеші було витягнуто на SMB-сервери в Австралії, Болгарії, Нідерландах та Туреччині.

“Одна кампанія, мабуть, мала місце приблизно 20-21 березня 2025 року. Її основними цілями стали польські та румунські уряди і приватні організації. Жертвам надсилали електронною поштою фішингові посилання, що містили архівний файл, завантажуваний із Dropbox”, – пояснюють у Check Point.

Один із файлів в архіві був пов’язаний з іншою схожою вразливістю – CVE-2024-43451, яка також використовується для розкриття хеша NTLM. Інший файл посилався на SMB-сервер, пов’язаний з APT-угрупованням Fancy Bear (воно ж APT28, Forest Blizzard і Sofacy). Однак наголошується, що поки даних для впевненої атрибуції атак недостатньо.

Також Check Point попереджає, що принаймні в одній кампанії від 25 березня 2025 року шкідливий файл .library-ms поширювався в розпакованому вигляді.