Kljub temu, da je Microsoft marca letos izdal popravek za NTLM ranljivost v operacijskem sistemu Windows, z oznako CVE-2025-24054, več skupin napadalcev še naprej aktivno izkorišča to pomanjkljivost. Ranljivost omogoča pridobivanje NTLM poverilnic brez neposrednega dostopa do žrtvinega sistema, kar jo uvršča med t. i. “low interaction, high reward” tipe napadov.
Kaj se dogaja?
V začetku marca 2025 je Microsoft v okviru rednih mesečnih popravkov odpravil NTLM “hash disclosure spoofing” ranljivost, označeno kot CVE-2025-24054. Po interni oceni je šlo za ranljivost zmerne resnosti, z nizko verjetnostjo izkoriščanja. A realnost je drugačna: že osem dni po objavi popravka so raziskovalci pri Check Point zaznali prve ciljno usmerjene napade, ki so vključevali to ranljivost.
Kako deluje napad?
Napadalci uporabnike pretentajo, da odprejo ZIP arhiv, ki vsebuje zlonamerni .library-ms dokument. Za sprožitev ranljivosti ni potrebno niti odpreti niti zagnati zlonamerne datoteke – že zgolj dostop do mape, kjer se datoteka nahaja, lahko sproži NTLM avtentikacijsko zahtevo proti oddaljenemu SMB strežniku pod nadzorom napadalcev.
Check Point opozarja:
“Ranljivost se lahko sproži že ob desnem kliku, povleci-in-spusti operaciji ali preprosti navigaciji do mape.”
– Check Point, marec 2025Prvi cilji: Vzhodna Evropa
Prvi napadi so bili usmerjeni proti vladnim in zasebnim organizacijam v Romuniji in na Poljskem. Napadalci so uporabljali phishing kampanjo, ki je vključevala povezave do Dropbox arhiva z več izkoriščevalci, vključno s CVE-2025-24054. Glavni namen: zbiranje NTLM hash poverilnic za kasnejše zlorabe.
Od takrat je Check Point identificiral vsaj 10 dodatnih kampanj, ki izkoriščajo to isto ranljivost, pri čemer so napadalni SMB strežniki locirani po vsem svetu – od Avstralije do Rusije.
Zakaj je NTLM še vedno problem?
Čeprav je Microsoft že lani uradno ukinil aktivni razvoj NTLM in spodbuja prehod na Kerberos, NTLM še vedno uporablja kar 64 % Active Directory računov, poroča Silverfort.
Zaradi svojih prirojenih slabosti – zlasti občutljivosti na pass-the-hash in relay napade, NTLM tako ostaja eden izmed najbolj ciljanih protokolov za krajo identitet.
Nekaj odmevnejših NTLM ranljivosti v zadnjem letu:
- CVE-2025-21377 (februar 2025)
- CVE-2024-43451 – izkoriščena s strani rusko povezane skupine UAC-0194 v kampanji proti Ukrajini
- CVE-2025-21311 – CVSS ocena 9.8
- CVE-2023-23397 – zloraba Outlooka za pridobitev NTLM poverilnic
Kaj pomeni za podjetja?
Hitro ukrepanje je ključno. Kot poudarja Check Point:
“Ta hitra izkoriščenost poudarja nujnost pravočasne namestitve popravkov in odpravo NTLM ranljivosti v okoljih organizacij.”
Zaradi enostavnosti napada in minimalne potrebne interakcije s strani uporabnika predstavlja CVE-2025-24054 resno tveganje, še posebej za organizacije, ki še niso povsem migrirale stran od NTLM protokola.
Naša priporočila:
- Takoj namestite popravke za CVE-2025-24054 in druge NTLM ranljivosti.
- Deaktivirajte NTLM, kjer je le mogoče, in preidite na Kerberos.
- Izvajajte proaktivni monitoring NTLM zahtev in sumljivih SMB komunikacij.
- Ozaveščajte uporabnike o phishing napadih in pasteh zlonamernih arhivov.
- Uporabljajte MDR storitve, ki zaznavajo nenavadne avtentikacijske zahteve in sumljive omrežne povezave.
NTLM ranljivosti, kot je CVE-2025-24054, nas opominjajo, da “legacy” ni vedno sinonim za zanesljivost. Kljub popravkom, ranljivost ostaja nevarna zaradi njene enostavne zlorabe in pogoste prisotnosti NTLM protokola v organizacijah.
Za vse, ki še vedno uporabljate NTLM v svoji IT infrastrukturi – zdaj je skrajni čas za premislek.
Viri:
- Check Point Research Report, marec 2025
- Microsoft Security Update – CVE-2025-24054
- Silverfort: NTLM Usage Statistics
Zgornji blog zapis je avtorsko delo Jai Vijayana in smo ga zaradi relevantnosti ranljivosti in tveganj, ki izvirajo iz njihovega naslova povzeli za potrebe naših strank in bralcev. Originalni zapis najdete na spletni strani darkreading.com
Za vse tiste navdušence, ki se radi poglabljate v podrobnosti in vzroke nastanka težav, kot je to v tem primeru NTLM avtentikacijski protokol, pa priporočamo zapis Michael Gorelik-a, ki je CTO podjetja Morphisec in je težavnostnemu stanju desetletja starega protokola, ki je tako globoko zasidran v sam Microsoft ekosistem, namenil zapis z naslovom: Skrite NTLM ranljivosti v Windows: Nezakrpane grožnje, ki omogočajo prevzem nadzora