Una vulnerabilidad de Windows que expone hashes NTLM mediante archivos .library-ms ahora es explotada activamente por piratas informáticos en campañas de phishing dirigidas a entidades gubernamentales y empresas privadas.

La falla, identificada como CVE-2025-24054 , se corrigió en el parche del martes de marzo de 2025 de Microsoft . Inicialmente, no se marcó como explotada activamente y se evaluó como "menos probable".

Sin embargo, los investigadores de Check Point informan haber observado actividad de explotación activa para CVE-2025-24054 solo unos días después de que los parches estuvieron disponibles, culminando entre el 20 y el 25 de marzo de 2025.

Aunque una dirección IP detrás de estos ataques fue previamente vinculada al grupo de amenazas patrocinado por el estado ruso APT28 ('Fancy Bear'), no es evidencia suficiente para una atribución segura.

Exposición de hashes NTLM

NTLM (New Technology LAN Manager) es un protocolo de autenticación de Microsoft que utiliza una negociación de desafío-respuesta que involucra hashes en lugar de transmitir contraseñas de texto simple para autenticar a los usuarios.

Si bien NTLM evita transmitir contraseñas de texto simple, ya no se considera seguro debido a vulnerabilidades como ataques de repetición y descifrado por fuerza bruta de hashes capturados .

Debido a esto, Microsoft ha comenzado a eliminar gradualmente la autenticación NTLM en favor de Kerberos o Negotiate.

En los ataques detectados por Check Point, se enviaron correos electrónicos de phishing a entidades de Polonia y Rumania que incluían un enlace de Dropbox a un archivo ZIP que contenía un archivo .library-ms.

Un archivo library-ms es un tipo de archivo legítimo que, cuando se abre, muestra una biblioteca de Windows , o contenedor virtual, que contiene archivos y carpetas de diferentes fuentes configuradas. 

En este ataque de phishing, se creó el archivo library-ms para contener una ruta a un servidor SMB remoto bajo el control del atacante.

Al extraer un archivo ZIP que contiene un archivo .library-ms, el Explorador de Windows interactuará con él automáticamente, lo que activará la falla CVE-2025-24054 y hará que Windows realice una conexión SMB a la URL especificada en el archivo.

Cuando Windows se conecta al servidor SMB remoto, intentará autenticarse a través de NTLM, lo que permitirá al atacante capturar los hashes NTLM del usuario.

En una campaña posterior, Check Point descubrió correos electrónicos de phishing que contenían archivos adjuntos .library-ms sin archivo comprimido. La simple descarga del archivo .library-ms fue suficiente para activar la autenticación NTLM en el servidor remoto, lo que demostró que no se necesitaban archivos comprimidos para explotar la vulnerabilidad.

"El 25 de marzo de 2025, Check Point Research descubrió una campaña dirigida a empresas de todo el mundo y que distribuía estos archivos sin comprimir", explica Check Point .

Según Microsoft, este exploit se activa con una mínima interacción del usuario con un archivo malicioso, como seleccionarlo (haciendo un solo clic), inspeccionarlo (haciendo clic con el botón derecho) o realizar cualquier acción que no sea abrirlo o ejecutarlo.

El archivo malicioso también contiene tres archivos más, concretamente 'xd.url', 'xd.website' y 'xd.link', que aprovechan antiguas fallas de fuga de hash NTLM y probablemente se incluyen por redundancia en caso de que falle el método 'library-ms'.

Check Point dice que los servidores SMB controlados por los atacantes en esta campaña usaban las direcciones IP 159.196.128[.]120 y 194.127.179[.]157.

La captura de hashes NTLM podría abrir el camino a la elusión de la autenticación y la escalada de privilegios, por lo que, aunque CVE-2025-24054 solo se evalúa como un problema de gravedad "media", sus posibles consecuencias son graves.

Dada la baja interacción requerida para explotar este problema, las organizaciones deben considerarlo un problema de alto riesgo. Se recomienda que todas las organizaciones instalen las actualizaciones de marzo de 2025 y desactiven la autenticación NTLM si no es necesaria.

Fuente: https://www.bleepingcomputer.com/news/security/windows-ntlm-hash-leak-flaw-exploited-in-phishing-attacks-on-governments/