La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) incorporó una vulnerabilidad de gravedad media de Windows a su catálogo de vulnerabilidades conocidas explotadas (KEV). La brecha, identificada como CVE-2025-24054, permite que atacantes obtengan hashes NTLM — método de autenticación heredado de Windows — mediante archivos maliciosos, lo que facilita ataques de movimiento lateral en redes.
La vulnerabilidad, corregida por Microsoft en marzo de 2025, fue explotada en campañas dirigidas a instituciones gubernamentales y privadas de Polonia y Rumanía. En estos casos, los atacantes distribuían enlaces de Dropbox con archivos ZIP que contenían exploits capaces de filtrar hashes NTLMv2-SSP con una interacción mínima del usuario: bastaba con descargar y extraer el contenido. Ataques similares ya habían afectado a Ucrania y Colombia en 2024, vinculados a grupos como UAC-0194 y Blind Eagle.
Microsoft señaló que el riesgo surge incluso con acciones mínimas del usuario, como previsualizar un archivo .library-ms manipulado. Aunque inicialmente la empresa consideró la explotación "poco probable", la falla fue utilizada en al menos 10 campañas recientes. El problema es una variante del CVE-2024-43451, también relacionado con filtraciones de hashes NTLM, lo que refuerza la necesidad de aplicar actualizaciones de forma inmediata.
La CISA exigió que las agencias federales de EE. UU. apliquen los parches antes del 8 de mayo de 2025. Los expertos advierten que los hashes NTLM pueden utilizarse en ataques de "paso de hash" (pass-the-hash) para elevar privilegios, lo que hace que la gestión proactiva de vulnerabilidades sea crítica en entornos corporativos.
Este post fue traducido y resumido a partir de su versión original con el uso de ChatGPT versión 4o, con revisión humana.
Con información de The Hacker News