Il recente avviso della Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha evidenziato una vulnerabilità di sicurezza di media gravità che colpisce Microsoft Windows, ora inclusa nel catalogo delle Vulnerabilità Sfruttate Note (KEV). La vulnerabilità, identificata con il codice CVE-2025-24054 e con un punteggio CVSS di 6.5, riguarda un problema di spoofing nel protocollo NTLM (New Technology LAN Manager) di Windows. Questo problema di sicurezza è stato corretto da Microsoft nel mese scorso durante l'aggiornamento Patch Tuesday.

NTLM è un protocollo di autenticazione legacy che è stato ufficialmente deprecato da Microsoft a favore di Kerberos. Tuttavia, gli attori malevoli hanno continuato a sfruttare NTLM attraverso metodi come pass-the-hash e attacchi relay per estrarre hash NTLM. Secondo CISA, la vulnerabilità in questione consente a un attaccante non autorizzato di eseguire spoofing su una rete tramite il controllo esterno di un nome di file o di un percorso.

Microsoft ha dichiarato che la vulnerabilità può essere attivata con un'interazione minima utilizzando un file .library-ms appositamente creato. Questi file possono essere selezionati, ispezionati o utilizzati in modi diversi dall'apertura o esecuzione per attivare il problema. Nonostante Microsoft abbia valutato l'esploit come "Exploitation Less Likely", Check Point ha riportato che la vulnerabilità è stata sfruttata attivamente a partire dal 19 marzo, consentendo agli attori malevoli di estrarre hash NTLM o password degli utenti e infiltrarsi nei sistemi.

Un attacco recente ha preso di mira istituzioni governative e private in Polonia e Romania utilizzando malspam per distribuire un link Dropbox contenente un archivio che sfruttava vulnerabilità note, inclusa la CVE-2025-24054, per ottenere hash NTLMv2-SSP. La vulnerabilità è considerata una variante della CVE-2024-43451, anch'essa sfruttata in attacchi contro Ucraina e Colombia.

Check Point ha osservato che i file vengono distribuiti tramite archivi ZIP, inducendo Windows Explorer a iniziare una richiesta di autenticazione SMB verso un server remoto, rivelando l'hash NTLM dell'utente senza interazione. Inoltre, campagne di phishing più recenti hanno utilizzato un file "Info.doc.library-ms" per raccogliere hash NTLMv2 e aumentare il rischio di movimento laterale e di escalation dei privilegi.

Questi attacchi sottolineano l'importanza di applicare tempestivamente le patch per mitigare le vulnerabilità NTLM. Le agenzie della Federal Civilian Executive Branch devono risolvere il problema entro l'8 maggio 2025 per proteggere i propri network dagli attacchi in corso.