8天，这个被微软认为低可利用性的漏洞即遭利用

该漏洞的编号为CVE-2025-24054，是一个NTLM 哈希泄露漏洞，被微软判定为“不太可能”遭利用。Check Point 公司的研究人员表示，犯罪分子滥用该漏洞构造了一款恶意软件。具体而言，该漏洞可被用于通过网络泄露受害者的 Net-NTLMv2 或 NTLMv2-SSP 哈希。研究人员提到，犯罪分子可以“尝试离线暴力破解该哈希或执行中继攻击”，以及模拟用户进行访问并以用户名义执行操作。

在最初的攻击潮中，钓鱼邮件诱骗受害者下载托管在 Dropbox 上的ZIP 文档 “xd.zip”。而该文档中含有四个受陷文件，其中一个是利用CVE-2025-24054的 library-ms 文件。只要解压缩该文档，或者在一些情况下，只需在 Windows Explorer 中查看该文件夹，就足以触发一个站外 SMB 认证，泄露受害者的 Net-NTLMv2 哈希到受攻击者控制的远程服务器。

研究人员观测到，被盗的HTLM哈希被提取到一个特定的IP地址：159.196.128[.]120，而此前 HarfangLab 在1月份将该IP地址标记为与俄罗斯APT28组织（或称为Fancy Bear黑客组织）有关。然而，尚未有更多信息表明该IP与APT28相关联。

截止到3月25日，攻击者不再只依靠开放的ZIP文档，而是开始直接将单独的 .library-ms 文件发送给目标。微软提到，该利用可通过最少的用户交互触发，如筛选（单击）或检查（右击）文件。

该恶意软件活动迅速扩散到全球，截止到3月25日，大约10次单独攻击活动都是为了收割 NTLMv2 哈希。被盗凭据被发送到位于俄罗斯、保加利亚、荷兰、澳大利亚和土耳其的受攻击者控制的SMB服务器中。

研究人员提到，“这一迅速利用凸显了组织机构立即应用补丁以及确保自身环境已修复NTLM漏洞的重要性。仅需最少的用户交互即可触发以及攻击者获取NTLM哈希访问权限的轻易性，使其成为重大威胁，尤其是在这些哈希可用于传递哈希攻击的情况下尤为如此。”