CVE-2025-24054: Falha no Windows permite roubo de credenciais NTLM ao baixar arquivos

A Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) adicionou, nesta quinta-feira, uma nova vulnerabilidade de gravidade média ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), após relatos de que o problema já está sendo ativamente explorado.

Identificada como CVE-2025-24054 (com pontuação CVSS de 6.5), essa falha é um bug de falsificação (spoofing) que expõe hashes NTLM no sistema Windows e foi corrigida pela Microsoft no mês passado durante os pacotes de atualização do Patch Tuesday. O NTLM é um protocolo legado de autenticação da Microsoft, oficialmente descontinuado em favor do Kerberos, mas que ainda é amplamente explorado por hackers através de técnicas como pass-the-hash e relay attacks.

Segundo a CISA, “o Microsoft Windows NTLM possui uma vulnerabilidade de controle externo de nomes ou caminhos de arquivos, que permite que um invasor não autorizado realize ataques de spoofing por meio da rede.” A Microsoft explicou que a falha pode ser explorada com uma simples interação com um arquivo .library-ms malicioso — bastando um clique único, clique com o botão direito ou qualquer ação que não envolva abrir ou executar o arquivo.

Apesar da Microsoft inicialmente classificar a exploração como "menos provável", a empresa Check Point confirmou que a falha vem sendo ativamente usada em ataques desde 19 de março de 2025. Os hackers têm utilizado campanhas de malspam (spam com malware) contendo links do Dropbox com arquivos compactados que exploram múltiplas vulnerabilidades, incluindo a CVE-2025-24054, para roubar hashes NTLMv2-SSP.

A vulnerabilidade é considerada uma variação da CVE-2024-43451, também com CVSS 6.5, corrigida em novembro de 2024. Essa falha foi usada por grupos hackers como UAC-0194 e Blind Eagle em ataques na Ucrânia e Colômbia. Os arquivos maliciosos são distribuídos em arquivos ZIP que, ao serem baixados e extraídos, fazem com que o Windows Explorer envie automaticamente uma solicitação de autenticação SMB a um servidor remoto, vazando os hashes NTLM do usuário sem qualquer interação adicional.

Mais recentemente, em 25 de março de 2025, outra campanha de phishing foi identificada distribuindo diretamente um arquivo chamado "Info.doc.library-ms", sem compressão. Desde o início das explorações, pelo menos 10 campanhas diferentes foram registradas, todas com o objetivo de coletar hashes NTLM de vítimas específicas.

A Check Point alerta que essas campanhas usam arquivos .library-ms maliciosos para obter hashes NTLMv2 e facilitar a movimentação lateral e a escalada de privilégios dentro das redes comprometidas. A simplicidade da exploração, aliada ao potencial de uso dos hashes em ataques pass-the-hash, eleva o risco da falha.

Diante disso, as agências federais dos EUA (FCEB) têm até o dia 8 de maio de 2025 para aplicar os patches de segurança, visando proteger seus ambientes contra a exploração ativa dessa vulnerabilidade.

Via - THN