Cum a subestimat Microsoft o vulnerabilitate: Instituții guvernamentale din România, vizate direct de escrocii din online

Microsoft a clasificat vulnerabilitatea CVE-2025-24054 din Windows drept una cu risc redus de exploatare. Cu toate acestea, atacatori cibernetici au demonstrat contrariul, reușind să o folosească în doar opt zile de la publicarea patch-ului, pentru a viza instituții guvernamentale și organizații private din Polonia și România.

Defecțiunea afectează, practic, modul în care sistemul de operare gestionează fișierele de tip .library-ms și permite scurgerea hash-urilor Net-NTLMv2 sau NTLMv2-SSP, scrie publicația The Register.

Cum funcționează vulnerabilitatea pe Windows, de fapt

Aceste hash-uri pot fi apoi folosite pentru a lansa atacuri de tip relay sau pentru a fi sparte offline, oferind atacatorilor posibilitatea de a se autentifica în locul utilizatorului și de a accesa resurse interne.

Cercetătorii de la Check Point au identificat primele campanii malițioase pe Windows 11 la scurt timp după lansarea patch-ului de securitate din 11 martie.

Horoscop vineri, 23 mai 2025: Zodia care primește vești neașteptate și își schimbă planurile din temelii

Planta care alungă țânțarii și se întreține ușor. Oricine o poate crește în ghiveci

În primele atacuri, utilizatorii primeau prin email o arhivă ZIP găzduită pe Dropbox, denumită „xd.zip”.

Aceasta conținea, concret, fișiere capcană, inclusiv un .library-ms, care, odată accesa, chiar și doar prin simpla vizualizare în Windows Explorer, declanșa automat o solicitare SMB către un server controlat de atacatori, trimițând hash-ul utilizatorului.

Ulterior, atacatorii au renunțat la arhive și au trimis direct fișiere .library-ms, ceea ce a redus și mai mult interacțiunea necesară din partea victimei. Selectarea sau click-dreapta pe fișier era suficientă pentru a activa exploit-ul.

Rusia, parte din problemă?

Una dintre adresele IP către care erau transmise datele exfiltrate, 159.196.128[.]120, a fost anterior asociată de HarfangLab cu gruparea de spionaj cibernetic APT28, cunoscută și ca Fancy Bear, susținută de Rusia.

Totuși, cercetătorii precizează că nu există o confirmare directă a implicării acestei grupări în atacurile recente.

Campania s-a extins rapid la nivel internațional, iar până pe 25 martie fuseseră identificate aproximativ 10 atacuri distincte, toate vizând colectarea de hash-uri NTLMv2 prin servere SMB localizate în Rusia, Bulgaria, Țările de Jos, Australia și Turcia.

Check Point atrage atenția că astfel de atacuri pun în evidență slăbiciunile procesului de gestionare a patch-urilor și importanța aplicării imediate a actualizărilor de securitate, în special în cazul vulnerabilităților care implică NTLM.

„Interacțiunea minimă necesară pentru declanșarea exploatării și ușurința cu care pot fi colectate hash-urile NTLM fac din această vulnerabilitate o amenințare majoră”, anunță specialiștii.

Organizațiile sunt, de ltfel, îndemnate să monitorizeze cu strictețe infrastructura, să elimine dependențele de NTLM acolo unde este posibil și să aplice fără întârziere patch-urile de securitate, chiar și pe cele aparent „neimportante”.