Уязвимость NTLM в Windows активно используется хакерами для компрометации систем

🔓 Киберпреступники активно эксплуатируют критическую уязвимость в системах Windows, связанную с аутентификацией по протоколу NTLM (New Technology LAN Manager), зарегистрированную как CVE-2025-24054. Уязвимость позволяет злоумышленникам раскрывать NTLM-хэши, что открывает путь к повышению привилегий и боковому перемещению по сети.

Что такое NTLM и в чем его уязвимость?

NTLM — это семейство протоколов аутентификации, разработанных Microsoft для проверки личности пользователей и защиты сетевых коммуникаций. Несмотря на улучшенную безопасность NTLMv2, хакеры всё ещё находят способы его эксплуатации — особенно через утечку хэшей.

CVE-2025-24054: Суть уязвимости

Эта уязвимость проявляется при обработке Windows ZIP-архивов, содержащих вредоносные файлы с расширениями вроде .library-ms. Когда пользователь извлекает такой архив, проводник Windows инициирует запрос аутентификации по протоколу SMB к внешнему серверу, контролируемому злоумышленником. В результате NTLMv2-SSP-хэш пользователя передаётся атакующему.

Для активации уязвимости не требуется прямое взаимодействие с вредоносным файлом — достаточно, чтобы пользователь просто открыл архив или даже навёл на него курсор мыши.

Уязвимость уже используется в атаках

🕵️‍♂️ Исследователи из Check Point Research зафиксировали первые атаки с использованием этой уязвимости уже 20–21 марта 2025 года. Кампании были направлены на государственные и частные организации, в основном в Польше и Румынии.

Злоумышленники рассылали ZIP-архивы по электронной почте, содержащие вредоносные файлы (.library-ms, .url, .website, .lnk), которые при открытии вызывали SMB-подключение к удалённым серверам и утечку хэшей NTLM.

📤 Хэши передавались на вредоносные серверы, размещённые в таких странах, как Россия, Болгария, Нидерланды, Австралия и Турция. Это указывает на высокий уровень организации атак и, вероятно, на их связь с государственными кибергруппами.

Ответ Microsoft и рекомендации

Microsoft выпустила патч для CVE-2025-24054 11 марта 2025 года, однако стремительное начало эксплуатации подчёркивает необходимость немедленного реагирования. Специалисты рекомендуют:

✅ Немедленно установить обновления — патч необходимо как можно быстрее развернуть на всех уязвимых системах.

✅ Сегментировать сеть — ограничьте SMB-трафик между сегментами сети, чтобы минимизировать распространение атаки.

✅ Усилить защиту SMB — включите цифровую подпись и защиту от релейных атак.

✅ Обучить пользователей — регулярно информируйте сотрудников о рисках, связанных с открытием подозрительных архивов или файлов.

✅ Проводить регулярный аудит безопасности — следите за аномалиями в сети и своевременно проверяйте уязвимости.

🔐 Вывод: CVE-2025-24054 — это пример того, как обыденные действия с файлами могут привести к утечке критически важных данных аутентификации. Только своевременное обновление, повышенная осведомлённость пользователей и надёжная сеть помогут предотвратить подобные угрозы.

Обновитесь сегодня. Защитите себя и свою организацию.