Check Point 警告称，Windows NTLM 漏洞的利用始于上个月补丁发布后大约一周。

该漏洞编号为 CVE-2025-24054（CVSS 评分为 6.5），并于2025 年 3 月补丁星期二得到解决，该中等严重性漏洞可能允许 NTLM 哈希泄露，从而使攻击者能够通过网络执行欺骗攻击。

根据微软的建议，成功利用该漏洞只需用户进行少量交互。只需选择或右键单击恶意文件即可触发该安全缺陷。

Check Points 表示，CVE-2025-24054 补丁发布一周后，威胁行为者开始利用该漏洞针对波兰和罗马尼亚的政府和私人机构发动攻击。

该网络安全公司指出：“当用户提取包含恶意.library-ms文件的 ZIP 压缩包时，就会触发此漏洞。此事件将触发 Windows 资源管理器向远程服务器发起 SMB 身份验证请求，从而导致在无需任何用户交互的情况下泄露用户的 NTLM 哈希值。”

暴露 NTLM 哈希后，攻击者可以执行暴力攻击来提取用户的密码，或者发起中继攻击。

根据被入侵账户的权限，攻击者可以在网络上横向移动、提升权限，并可能入侵域。

虽然微软在其安全公告中并未将 CVE-2025-24054 标记为已被利用，但在 3 月 19 日至 3 月 25 日期间，Check Point 观察到大约有十几次针对该漏洞的恶意攻击活动。提取的 NTLM 哈希值来自澳大利亚、保加利亚、荷兰、俄罗斯和土耳其的 SMB 服务器。

Check Point 解释道：“[其中一项]攻击活动似乎发生在 2025 年 3 月 20 日至 21 日左右。主要目标似乎是波兰和罗马尼亚政府及私人机构。该攻击活动通过电子邮件钓鱼链接锁定受害者，其中包含一个从 Dropbox 下载的存档文件。”

档案中的其中一个文件与 CVE-2024-43451 相关，这是一个 Windows NTLM 哈希泄露漏洞，被俄罗斯威胁行为者用作零日漏洞；而另一个文件则引用了与俄罗斯国家支持的 APTFancy Bear（也称为 APT28、Forest Blizzard 和 Sofacy）相关的 SMB 服务器。

Check Point 还警告称，在 3 月 25 日观察到的至少一次活动中，恶意 .library-ms 文件以解压缩的形式分发。

周四，美国网络安全机构 CISA 将 CVE-2025-24054 添加到其已知可利用漏洞(KEV) 列表中。根据 BOD 22-01 的规定，联邦机构应在 5 月 8 日之前修补该漏洞，但 CISA 敦促所有组织优先修复 KEV 目录中的漏洞。

— 欢迎关注

原文始发于微信公众号（祺印说信安）：新的Windows NTLM漏洞被利用进行攻击