[English]Zum 11. März 2025 hat Microsoft auch die in Windows enthaltene Schwachstelle CVE-2025-24054 öffentlich dokumentiert und gepatcht. Die Schwachstelle ermöglicht ein NTLM-Spoofing, wurde von Microsoft aber als "schwierig auszunutzen" klassifiziert. Nun wies Checkpoint vorige Woche darauf hin, dass Cyberkriminelle Systeme über CVE-2025-24054 angreifen.
Anzeige
Windows Schwachstelle CVE-2025-24054
Microsoft hat zum 11. März 2025 die Schwachstelle CVE-2025-24054 dokumentiert und durch Sicherheitsupdates geschlossen. Es handelt sich um eine NTLM Hash Disclosure Spoofing-Schwachstelle, die mit einem CVEv3 Score 6.5 als important klassifiziert wird.
Die Schwachstelle basiert darauf, dass bei externer Kontrolle von Dateinamen oder -pfaden in Windows NTLM es einem nicht autorisierten Angreifer ermöglicht wird, Spoofing über ein Netzwerk durchzuführen.
Eine minimale Interaktion eines Benutzers mit einer bösartigen Datei (z.B. auswählen durch Anklicken oder Rechtsklick oder das Ausführen einer anderen Aktion als das Öffnen oder Ausführen der Datei, ziehen und ablegen oder einfaches navigieren zu dem Ordner, der die schädliche Datei enthält), kann diese Sicherheitslücke auslösen. Microsoft stuft die Schwachstelle nach wie vor als "Exploitation Less Likely" und gibt an, dass keine Ausnutzung bekannt sei.
Microsoft hat für alle noch im Support befindlichen Windows-Versionen (Windows Server 2008 R2 bis Windows Server 2025, Windows 10, Windows 11) Sicherheitsupdates zum Schließen der Schwachstelle veröffentlicht (siehe links am Artikelende). Rapid7 listet die betreffenden Updates in diesem Beitrag auf.
Anzeige
NTLM (New Technology LAN Manager) ist eine Reihe von Authentifizierungsprotokollen, die von Microsoft entwickelt wurden, um Benutzeridentitäten zu verifizieren und die Integrität und Vertraulichkeit der Netzwerkkommunikation zu schützen. NTLM arbeitet mit einem direkten Client-Server-Austausch, dem so genannten NTLM Challenge/Response-Mechanismus, bei dem der Server den Client auffordert, seine Identität zu überprüfen, ohne das eigentliche Kennwort des Benutzers über das Netzwerk zu senden.
Checkpoint und CISA warnen vor CVE-2025-24054
Die US-Cybersicherheitsbehörde CISA hat die Schwachstelle CVE-2025-24054 zum 17. April 2025 in ihrem Katalog mit ausgenutzten Schwachstellen aufgenommen. Mir ist bereits zum 16. April 2025 der nachfolgende Tweet untergekommen, wo vor der Schwachstelle CVE-2025-24054 gewarnt wird, weil es einen NTLM-Exploit gibt, der ausgenutzt wird.
Sicherheitsforscher von Check Point Research weisen im Artikel CVE-2025-24054, NTLM Exploit in the Wild vom 16. April 2025 drauf hin, dass diese Schwachstelle seit dem 19. März 2025 aktiv ausgenutzt werde. CVE-2025-24054 ist eine Sicherheitslücke im Zusammenhang mit der Offenlegung von NTLM-Hashes durch Spoofing, die mit einer in böser Absicht erstellten .library-ms-Datei ausgenutzt werden kann. Angreifer können über einen Exploit möglicherweise NTLM-Hashes oder Benutzerpasswörter ausspähen und Systeme gefährden, heißt es.
Obwohl von Microsoft am 11. März 2025 ein Patch veröffentlicht wurde, hatten Angreifer laut Check Point Research bereits über eine Woche Zeit, um Exploits zu entwickeln und einzusetzen, bevor die Sicherheitslücke aktiv ausgenutzt wurde. Bereits am 20. und 21. März 2025 richtete sich eine Kampagne gegen staatliche und private Einrichtungen in Polen und Rumänien.
Die Angreifer nutzten Malspam, um einen Dropbox-Link zu verbreiten, der ein Archiv enthielt, das mehrere bekannte Schwachstellen, darunter CVE-2025-24054, ausnutzte, um NTLMv2-SSP-Hashes zu sammeln. Ersten Berichten zufolge wurde die Schwachstelle ausgenutzt, sobald die .library-ms-Datei entpackt wurde.
In der Patch-Dokumentation von Microsoft wird jedoch darauf hingewiesen, dass die Sicherheitslücke auch durch minimale Benutzerinteraktion ausgelöst werden kann, z. B. durch Klicken mit der rechten Maustaste, Ziehen und Ablegen oder einfaches Navigieren zu dem Ordner, der die schädliche Datei enthält. Bei diesem Exploit scheint es sich um eine Variante der bereits gepatchten Sicherheitslücke CVE-2024-43451 zu handeln, da beide mehrere Ähnlichkeiten aufweisen.
Ähnliche Artikel:
Microsoft Security Update Summary (11. März 2025)
Patchday: Windows 10/11 Updates (11. März 2025)
Patchday: Windows Server-Updates (11. März 2025)
Patchday: Microsoft Office Updates (11. März 2025)
Anzeige
Darf ich auf deinen eigenen Artikel verweisen?
https://www.borncity.com/blog/2024/12/19/windows-11-24h2-server-2025-ntlmv1-wurde-entfernt/
Was nicht mehr da ist, kann auch nicht angegriffen werden.
Sehr kurz gedacht, es gibt ja noch Server 2022, 2019, 2016, 2012r2 etc. mit der Funktion.
Und neben Windows 11 24h2 gibt es auch noch Win11 23h2 und Windows 10 22H2 die sich im Support befinden.
achtung nur NTLMv1 wurde entfernt, NTLMv2 ist noch immer vorhanden (und darum gehts auch in dem Exploit) und wird auch noch nicht so schnell verschwinden leider…
Es geht in diesem Fall um NTLM v2