Un Clic e sei fregato! La nuova vulnerabilità Windows viene già sfruttata

Gli esperti di Check Point avvertono che lo sfruttamento di una nuova vulnerabilità NTLM di Windows ha avuto inizio circa una settimana dopo il rilascio delle patch il mese scorso.

La vulnerabilità in questione è la CVE-2025-24054 (punteggio CVSS 6,5), risolta con il Patch Tuesday di marzo 2025. Questo problema determina la divulgazione dell'hash NTLM, consentendo attacchi di spoofing. Microsoft afferma che per sfruttare il bug è necessaria un'interazione minima dell'utente, attivabile selezionando o cliccando su un file dannoso.

Gli analisti di Check Point segnalano che, una settimana dopo il rilascio delle patch, gli aggressori hanno iniziato a sfruttare la vulnerabilità per attaccare agenzie governative e organizzazioni private in Polonia e Romania. “La vulnerabilità si manifesta quando un utente decomprime un archivio ZIP contenente un file .library-ms dannoso. Questo evento fa sì che Esplora risorse di Windows avvii una richiesta di autenticazione SMB al server remoto, portando alla perdita dell'hash NTLM dell'utente senza la sua partecipazione”, spiegano gli esperti. Con l'hash NTLM esposto, gli aggressori possono eseguire un attacco brute-force per ottenere la password dell'utente o organizzare un attacco relay.

A seconda dei privilegi dell'account compromesso, gli hacker possono muoversi nella rete, aumentare i propri privilegi e potenzialmente compromettere l'intero dominio. Sebbene Microsoft non abbia confermato lo sfruttamento della CVE-2025-24054, i ricercatori affermano di aver scoperto più di una dozzina di campagne dannose che prendevano di mira la vulnerabilità tra il 19 e il 25 marzo. Gli hash NTLM sono stati estratti su server SMB in Australia, Bulgaria, Paesi Bassi, Russia e Turchia.

“Una campagna sembra aver avuto luogo intorno al 20-21 marzo 2025, mirando principalmente a governi polacchi e rumeni e organizzazioni private. Le vittime hanno ricevuto email di phishing con un file di archivio scaricato da Dropbox”, spiega Check Point. Uno dei file nell'archivio era collegato a un'altra vulnerabilità simile, la CVE-2024-43451, anch'essa utilizzata per esporre l'hash NTLM. Un altro file faceva riferimento a un server SMB associato al gruppo APT Fancy Bear (APT28, Forest Blizzard e Sofacy).

Non ci sono ancora dati sufficienti per attribuire con certezza gli attacchi. Check Point avverte che almeno una campagna del 25 marzo 2025 ha distribuito il file dannoso .library-ms in formato non compresso.