Aanvallers gebruiken sinds juni malafide URL-bestanden om NTLMv2-hashes van doelwitten te stelen. Daarbij wordt gebruikgemaakt van een kwetsbaarheid in Windows waarvoor Microsoft afgelopen dinsdag beveiligingsupdates uitbracht. Een zip-bestand met daarin een malafide URL-bestand werd op 21 juni naar Googles online virusscandienst VirusTotal.com geüpload.

Microsoft omschrijft de kwetsbaarheid (CVE-2024-43451) als "NTLM hash disclosure spoofing". Misbruik vindt plaats wanneer een gebruiker met de rechtermuisknop op een malafide URL-bestand klikt, het bestand via de deleteknop verwijdert of het bestand naar een andere map sleept. Vervolgens zal de computer van de gebruiker verbinding met de server van de aanvaller maken, waarbij de NTLMv2-hash van de gebruiker naar de server wordt verstuurd.

De NT LAN Manager (NTLM), en diens opvolger NTLMv2, is een challenge-en-response protocol voor het authenticeren van gebruikers, waarbij gebruik wordt gemaakt van wachtwoordhashes. "Na het ontvangen van de NTLM-hash kan een aanvaller een pass-the-hash-aanval uitvoeren om zich als de gebruiker van de betreffende hash voor te doen, zonder over het bijbehorende wachtwoord te beschikken", aldus securitybedrijf ClearSky dat de kwetsbaarheid aan Microsoft rapporteerde. Ook het techbedrijf waarschuwt dat aanvallers via de gestolen hash als de gebruiker kunnen inloggen.

Aanvallen waarbij misbruik van het beveiligingslek werd gemaakt begonnen met phishingmails die vanaf een gecompromitteerde server werden verstuurd. Vervolgens werd er in de phishingmail gelinkt naar een zip-bestand gehost op een gecompromitteerde server. Dit zip-bestand bevatte onder andere het malafide URL-bestand.