美国网络安全和基础设施安全局 (CISA) 周四将影响 Microsoft Windows 的中等严重性安全漏洞添加到其已知利用漏洞 (KEV) 目录中,此前有报告称存在在野外积极利用。
该漏洞被分配了 CVE 标识符 CVE-2025-24054(CVSS 分数:6.5),是一个 Windows 新技术 LAN Manager (NTLM) 哈希披露欺骗错误,Microsoft 上个月作为其 Patch Tuesday 更新的一部分进行了修补。
NTLM 是一种旧式身份验证协议,Microsoft 去年正式弃用了该协议,以支持 Kerberos。近年来,威胁行为者找到了各种利用该技术的方法,例如传递哈希和中继攻击,以提取 NTLM 哈希值以进行后续攻击。
“Microsoft Windows NTLM 包含对文件名或路径的外部控制漏洞,允许未经授权的攻击者通过网络执行欺骗,”CISA 说。
在 3 月份发布的公告中,Microsoft 表示,该漏洞可能是通过与特制的 .library-ms 文件的最小交互触发的,例如“选择(单击)、检查(右键单击)或执行打开或执行文件以外的作”。
这家科技巨头还感谢 NTT Security Holdings、0x6rss 和 j00sean 的 Rintaro Koike 发现并报告了该漏洞。
虽然 Microsoft 已将 CVE-2025-24054 的可利用性评估为“利用可能性较小”,但根据 Check Point,该安全漏洞自 3 月 19 日以来一直受到积极利用,从而允许不良行为者泄露 NTLM 哈希或用户密码并渗透系统。
“2025 年 3 月 20 日至 21 日左右,一场针对波兰和罗马尼亚政府和私人机构的活动,”这家网络安全公司表示。“攻击者使用恶意垃圾邮件分发包含存档的 Dropbox 链接,该链接利用多个已知漏洞(包括 CVE-2025-24054)来获取 NTLMv2-SSP 哈希值。”
该漏洞被评估为 CVE-2024-43451(CVSS 评分:6.5)的变体,Microsoft 于 2024 年 11 月修补了该漏洞,并且在 UAC-0194 和 Blind Eagle 等威胁行为者针对乌克兰和哥伦比亚的攻击中也被野外武器化。
根据 Check Point 的说法,该文件是通过 ZIP 档案分发的,导致 Windows 资源管理器向远程服务器发起 SMB 身份验证请求,并在下载和提取档案内容时无需任何用户交互即可泄露用户的 NTLM 哈希。
也就是说,最近在 2025 年 3 月 25 日观察到的另一个网络钓鱼活动被发现提供了一个名为“Info.doc.library-ms”的文件,没有经过任何压缩。自第一波攻击以来,已观察到不少于 10 次活动,其最终目标是从目标受害者那里检索 NTLM 哈希值。
“这些攻击利用恶意 .library-ms 文件来收集 NTLMv2 哈希值,并增加了受感染网络内横向移动和权限升级的风险,”Check Point 说。
“这种快速利用凸显了组织立即应用补丁并确保在其环境中解决 NTLM 漏洞的迫切需求。触发漏洞利用所需的最少用户交互以及攻击者可以轻松访问 NTLM 哈希使其成为一个重大威胁,尤其是当此类哈希可用于传递哈希攻击时。
联邦文职行政部门 (FCEB) 机构必须在 2025 年 5 月 8 日之前对该缺陷进行必要的修复,以便在积极利用的情况下保护其网络。
信息来源:https://thehackernews.com/2025/04/cve-2025-24054-under-active.html
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局