Microsoft ha rilasciato l’11 marzo la patch per una vulnerabilità presente nel protocollo NTLM (New Technology LAN Manager) di Windows, specificando che non circolava nessun exploit. Gli esperti di Check Point Research hanno invece scoperto che il bug è stato sfruttato durante vari attacchi di phishing contro entità governative e aziende private.
Furto di hash NTLM
NTLM è una suite di protocolli di autenticazione che permettono di verificare l’identità dell’utente attraverso un meccanismo challenge/risposta, in cui viene trasmesso un hash invece della password in chiaro. Nonostante i miglioramenti introdotti da Microsoft, le risposte (hash) possono essere intercettate e usate per relay attack o forza bruta. L’azienda di Redmond ha quindi deciso di abbandonare NTLM e utilizzare soluzioni più sicure.
Circa otto giorni dopo il rilascio della patch, Check Point ha rilevato diversi attacchi di phishing che sfruttano la vulnerabilità CVE-2025-24054. Nelle email è presente il link ad un archivio ZIP ospitato su Dropbox. All’interno c’è un file .library-ms che contiene un percorso ad un server SMB controllato dai cybercriminali.
È sufficiente l’estrazione del file per avviare una connessione al server SMB. Il file può essere allegato direttamente alle email. In questo caso è sufficiente la copia su disco. Microsoft spiega nel bollettino di sicurezza che la vulnerabilità può essere sfruttata con una minima interazione dell’utente, come selezione del file (singolo clic), ispezione (clic destro) o altre azioni.
In entrambe le opzioni, la connessione al server SMB attiva l’autenticazione NTLM e quindi il furto degli hash. I principali bersagli sono al momento entità governative e aziende private che si trovano in Polonia e Romania. Non sono noti gli autori degli attacchi (forse il gruppo russo Fancy Bear).
Ti potrebbe interessare
21 apr 2025