Una vulnerabilidad de Windows que expone hashes NTLM mediante archivos
.library-ms está sien doexplotada activamente por delicuentes en
campañas de phishing dirigidas a entidades gubernamentales y empresas
privadas.
La falla, identificada como
CVE-2025-24054, se corrigió el pasado
martes de parches marzo. Inicialmente, no se marcó como explotada activamente y se evaluó como
«menos probable». Sin embargo, investigadores de Check Point informan haber
observado actividad de explotación para CVE-2025-24054 solo unos días después
de la disponibilidad de los parches.
Aunque una dirección IP responsable de estos ataques se vinculó previamente
con el grupo de amenazas ruso APT28 («Fancy Bear»), esto no constituye
evidencia suficiente para una atribución fiable.
Exposición de hashes NTLM
NTLM es un protocolo de autenticación de Microsoft que utiliza la negociación
de desafío-respuesta con hashes en lugar de transmitir contraseñas de
texto plano para autenticar a los usuarios. Si bien NTLM evita la transmisión
de contraseñas de texto plano, ya no se considera seguro debido a
vulnerabilidades como los ataques de repetición y el descifrado por fuerza
bruta de hashes capturados previamente.
Por ello,
Microsoft ha comenzado a eliminar gradualmente la autenticación NTLM en
favor de Kerberos
o Negotiate.
En ataques detectados por Check Point, se enviaron correos electrónicos de
phishing a entidades en Polonia y Rumanía que incluían un enlace de Dropbox a
un archivo ZIP con un
archivo .library-ms. Este tipo de archivo legítimo, al abrirse, muestra una biblioteca de
Windows, o un contenedor virtual, que contiene archivos y carpetas de
diferentes orígenes.
En este ataque de phishing, el archivo library-ms se creó para contener
una ruta a un servidor SMB remoto bajo el control del atacante. Al extraer un
archivo ZIP que contiene el .library-ms, el Explorador de Windows
interactúa con él automáticamente, activando la vulnerabilidad CVE-2025-24054
y provocando que Windows establezca una conexión SMB a la URL especificada en
el archivo.
Cuando Windows se conecta al servidor SMB remoto, intenta autenticarse
mediante NTLM, lo que permite al atacante capturar los hashes NTLM del
usuario.
En una campaña posterior, Check Point descubrió correos electrónicos de
phishing que contenían archivos adjuntos .library-ms sin comprimirse.
La simple descarga del archivo .library-ms ya es suficiente para
activar la autenticación NTLM en el servidor remoto, lo que demuestra que no
se necesitaban archivos comprimidos para explotar la vulnerabilidad.
«El 25 de marzo de 2025, Check Point Research descubrió una campaña
dirigida a empresas de todo el mundo que distribuía estos archivos sin
comprimir»,
explica Check Point.
Según Microsoft, este exploit se activa con una mínima interacción del
usuario con un archivo malicioso, como seleccionarlo (haciendo un solo
clic), inspeccionarlo (haciendo clic con el botón derecho) o realizar
cualquier acción que no sea abrirlo o ejecutarlo.
El archivo malicioso también contiene tres archivos más:
‘xd.url’, ‘xd.website’ y ‘xd.link’, que aprovechan antiguas
vulnerabilidades de fuga de hashes NTLM y probablemente se incluyen por
redundancia en caso de que falle el método ‘library-ms’.
Check Point afirma que los servidores SMB controlados por el atacante en esta
campaña utilizaban las direcciones IP 159.196.128[.]120 y 194.127.179[.]157.
Capturar hashes NTLM podría evitar la autenticación y permitit el escalamiento
de privilegios. Por lo tanto, aunque CVE-2025-24054 solo se evalúa como un
problema de gravedad media, sus posibles consecuencias son graves.
Dada la baja interacción necesaria para explotar este problema, las
organizaciones deben considerarlo un problema de alto riesgo.
Se recomienda que todas las organizaciones instalen las actualizaciones de
marzo de 2025 y desactiven la autenticación NTLM si no es necesaria.
Fuente:
BC