新的Windows NTLM漏洞被利用进行攻击

祺印说信安 2025-04-20 22:38

Check Point 警告称，Windows NTLM 漏洞的利用始于上个月补丁发布后大约一周。该漏洞编号为 CVE-2025-24054（CVSS 评分为 6.5），并于2025 年 3 月补丁星期二得到解决，该中等严重性漏洞可能允许 NTLM 哈希泄露，从而使攻击者能够通过网络执行欺骗攻击。根据微软的建议，成功利用该漏洞只需用户进行少量交互。只需选择或右键单击恶意文件即可触发该安全缺陷。Check Points 表示，CVE-2025-24054 补丁发布一周后，威胁行为者开始利用该漏洞针对波兰和罗马尼亚的政府和私人机构发动攻击。该网络安全公司指出：“当用户提取包含恶意.library-ms文件的 ZIP 压缩包时，就会触发此漏洞。此事件将触发 Windows 资源管理器向远程服务器发起 SMB 身份验证请求，从而导致在无需任何用户交互的情况下泄露用户的 NTLM 哈希值。”暴露 NTLM 哈希后，攻击者可以执行暴力攻击来提取用户的密码，或者发起中继攻击。根据被入侵账户的权限，攻击者可以在网络上横向移动、提升权限，并可能入侵域。虽然微软在其安全公告中并未将 CVE-2025-24054 标记为已被利用，但在 3 月 19 日至 3 月 25 日期间，Check Point 观察到大约有十几次针对该漏洞的恶意攻击活动。提取的 NTLM 哈希值来自澳大利亚、保加利亚、荷兰、俄罗斯和土耳其的 SMB 服务器。Check Point 解释道：“[其中一项]攻击活动似乎发生在 2025 年 3 月 20 日至 21 日左右。主要目标似乎是波兰和罗马尼亚政府及私人机构。该攻击活动通过电子邮件钓鱼链接锁定受害者，其中包含一个从 Dropbox 下载的存档文件。”档案中的其中一个文件与 CVE-2024-43451 相关，这是一个 Windows NTLM 哈希泄露漏洞，被俄罗斯威胁行为者用作零日漏洞；而另一个文件则引用了与俄罗斯国家支持的 APTFancy Bear（也称为 APT28、Forest Blizzard 和 Sofacy）相关的 SMB 服务器。Check Point 还警告称，在 3 月 25 日观察到的至少一次活动中，恶意 .library-ms 文件以解压缩的形式分发。周四，美国网络安全机构 CISA 将 CVE-2025-24054 添加到其已知可利用漏洞(KEV) 列表中。根据 BOD 22-01 的规定，联邦机构应在 5 月 8 日之前修补该漏洞，但 CISA 敦促所有组织优先修复 KEV 目录中的漏洞。— 欢迎关注 往期回顾 —2025收集更新信通院白皮书系列合集（665个）下载——等级保护新等保测评真的取消打分了吗？一点杂谈！新定级备案模板明确数据安全纳入等级保护体系等保定级新模板新要求，2025定级工作新变化2025新形势下新等保备案如何开展测评机构老板与销售注意：浅谈测评机构如何更好的满足属地网安监管？网络安全等级保护：等级保护工作、分级保护工作、密码管理工作三者之间的关系河南省新规定测评与密评预算再调低四川省等级测评与商密评估预算计算方法广西壮族自治区等级测评与商密评估预算为几何？黑龙江财政关于等级测评与商密评估预算为几何？和Deepseek一起共同探讨《国家信息化领导小组关于加强信息安全保障工作的意见》和Deepseek一起共同探讨《关于信息安全等级保护工作的实施意见》与Deepseek一起谈开展等级测评的必要性！——数据安全《网络数据安全管理条例》解读市场监管总局印发《网络交易合规数据报送管理暂行办法》数据安全知识：什么是数据安全？网警提醒  | 3.31世界备份日：重视你的数据安全网络和数据安全合规：15部门发布指导意见助力中小企业全面合规数码复印机数据安全：企业指南《数据安全法》中有关数据安全保护的法律义务——错与罚江苏涟水农村商业银违反网络安全与数据安全管理规定等被罚114.5万网络安全无小事！某企业因疏于防护被依法查处江苏灌南农商行因违反数据安全管理规定等被罚97.5万网安企业“内鬼”监守自盗，窃取个人信息2.08亿条郑州3家公司未履行网络安全保护义务被网信部门约谈25年郑州新增两家公司违反《网络安全法》被市网信办行政处罚驻马店市委网信办就网络安全问题依法约谈相关责任单位两家银行因数据安全相关问题，被罚款河北保定竞秀区委网信办依法约谈网站负责人贵港市网信办公布2起网络安全违法违规典型案例公安机关依法严厉打击侵犯公民个人信息犯罪，10起典型案例公布重庆网信部门近期就企业违法违规情况开展多起约谈与处罚新华社：中国电信、中国移动、中国联通，集体回应！重庆网信部门就一企业系统遭境外组织攻击，开展联合公安约谈——其他浅谈网络“四法四条例四办法一意见”与山东数字政府建设改革方案精彩回顾：祺印说信安2024之前祺印说信安2024年一年回顾网警提醒  | 3.31世界备份日：重视你的数据安全网络安全知识：什么是技术债务？网络安全知识：网络威胁情报解析5月1日起，《国家秘密定密管理规定》正式施行黑客攻击远程服务器十大弱口令