Los correos electrónicos de phishing fueron cuidadosamente elaborados
CVE-2025-24054, una vulnerabilidad de divulgación de hash NTLM de Windows para la que Microsoft ha publicado parches el mes pasado, ha sido aprovechada por actores de amenazas en campañas dirigidas a instituciones gubernamentales y privadas en Polonia y Rumania.
"Se ha observado una explotación activa en la naturaleza desde el 19 de marzo de 2025, lo que potencialmente permite a los atacantes filtrar hashes NTLM o contraseñas de usuarios y comprometer los sistemas", han compartido los investigadores de Check Point.
Acerca de CVE-2025-24054
CVE-2025-24054 permite a los atacantes capturar la respuesta NTLMv2 (es decir, el hash NTLMv2-SSP) enviada por la máquina de las víctimas a un servidor SMB operado por el atacante que inició una solicitud de autenticación.
Los atacantes pueden intentar forzar la captura de este hash capturado fuera de línea o pueden usarlo para realizar ataques de retransmisión.
Los ataques de retransmisión NTLM se clasifican como ataques de intermediario (MitM) que explotan el protocolo de autenticación NTLM. En lugar de descifrar la contraseña, el atacante captura el hash y lo pasa a otro servicio para autenticarse como el usuario, explicaron los investigadores .
Los ataques de retransmisión NTLM son mucho más peligrosos cuando las credenciales robadas pertenecen a un usuario privilegiado, ya que el atacante las utiliza para la escalada de privilegios y el movimiento lateral en la red.
La vulnerabilidad CVE-2025-24054, revelada de forma privada a Microsoft por tres investigadores, fue considerada por la empresa como "menos probable" de ser explotada.
Microsoft asignó inicialmente CVE-2025-24071 a la vulnerabilidad, pero posteriormente creó un nuevo identificador: CVE-2025-24054. Ambas vulnerabilidades se parchearon el 11 de marzo de 2025 y ambas permiten a un atacante no autorizado realizar suplantación de identidad a través de una red. Sin embargo, la primera requiere que el objetivo abra una carpeta que contiene un archivo especialmente diseñado, mientras que la segunda solo requiere que interactúe con el archivo malicioso (p. ej., seleccionarlo, inspeccionarlo o moverlo), y no necesariamente que lo abra y lo ejecute.
En ese sentido, CVE-2025-24054 es similar a CVE-2024-43451, una vulnerabilidad que se explotó en 2024 como día cero para atacar a entidades ucranianas.
Las campañas de ataque detectadas
Uno de los investigadores que inicialmente marcó CVE-2025-24054 publicó un exploit PoC y un informe técnico sobre la falla el 16 y el 18 de marzo, respectivamente.
Los investigadores de Check Point dicen que los primeros ataques que aprovechan CVE-2025-24054 se detectaron el 19 de marzo, y que la campaña dirigida a instituciones gubernamentales y privadas en Polonia y Rumania comenzó alrededor del 20 y 21 de marzo.
Imagen: Correo electrónico de phishing con archivo de explotación adjunto (Fuente: Check Point Research)
"La campaña consistía en dirigirse a las víctimas mediante enlaces de phishing por correo electrónico que incluían un archivo comprimido", explicaron los investigadores.
El archivo xd.zip se descargó de Dropbox y contenía archivos con el único propósito de filtrar hashes NTLMV2-SSp. Esos cuatro archivos incrustados contactaron con un servidor SMB malicioso con la dirección IP 159.196.128[.]120.
Uno de los archivos del archivo activó la vulnerabilidad CVE-2025-24054, mientras que otro explotó la vulnerabilidad CVE-2024-43451. Según un informe previo de investigadores de HarfangLab, la dirección IP del servidor se había vinculado previamente a APT28, también conocido como Fancy Bear o Forest Blizzard.
Hasta el 25 de marzo, Check Point había observado aproximadamente 10 campañas adicionales con el objetivo de recuperar hashes NTLMV2-SSp de las víctimas objetivo. Ese mismo día, detectaron una dirigida a empresas de todo el mundo.
Los correos electrónicos de phishing fueron cuidadosamente elaborados para engañar a los objetivos para que descargaran el archivo adjunto que contenía un archivo de explotación descomprimido:
"Tan pronto como las víctimas descargaron el exploit, se filtraron sus hashes NTLMV2-SSp", explicaron los investigadores.
Correcciones para CVE-2025-24054
Aunque generalmente no se los considera de alto riesgo como las fallas que conducen a la ejecución remota de código, se ha vuelto obvio que algunos atacantes están listos para aprovechar las vulnerabilidades de NTLM rápidamente y se deben priorizar los parches para ellos, especialmente porque NTLMv2 todavía se usa ampliamente para la autenticación a pesar de que Microsoft ha dejado oficialmente obsoletas todas las versiones de NTLM el año pasado e instó a los usuarios a cambiar a Kerberos.
Microsoft ha lanzado parches para CVE-2025-24054 para todas las versiones compatibles de Windows y Windows Server, pero para aquellos que aún usan versiones anteriores no compatibles (por ejemplo, Windows 7, Windows 10 v21H2, Windows Server 2008 R2 y Server 2012 R2), la microinstalación de parches es una solución viable.
