Aanvallers maken actief misbruik van een kwetsbaarheid in Windows voor het stelen van NTLMv2-hashes bij Europese overheidsinstanties en private instellingen, zo meldt securitybedrijf Checkpoint. Ook het Amerikaanse cyberagentschap CISA waarschuwt voor actief misbruik van de kwetsbaarheid, waarvoor afgelopen maart een beveiligingsupdate verscheen.

Het beveiligingslek, aangeduid als CVE-2025-24054, maakt het mogelijk voor aanvallers om NTLMv2-hashes van gebruikers te stelen. Hiervoor versturen de aanvallers e-mails met link een naar zip-bestand. Dit zip-bestand bevat weer een .library-ms-bestand. Ook komt het voor dat aanvallers dit bestand direct naar doelwitten mailen. Alleen het selecteren, inspecteren, verslepen of andere actie met het bestand is voldoende om het lek te misbruiken. Het is niet nodig voor een doelwit om het bestand te openen.

De NT LAN Manager (NTLM), en diens opvolger NTLMv2, is een challenge-en-response protocol voor het authenticeren van gebruikers, waarbij gebruik wordt gemaakt van wachtwoordhashes. "Na het ontvangen van de NTLM-hash kan een aanvaller een pass-the-hash-aanval uitvoeren om zich als de gebruiker van de betreffende hash voor te doen, zonder over het bijbehorende wachtwoord te beschikken", zo liet securitybedrijf ClearSky vorig jaar over een soortgelijke actief misbruikte kwetsbaarheid (CVE-2024-43451) weten.

Volgens Checkpoint vindt misbruik van CVE-2025-24054 sinds 19 maart plaats, acht dagen na het uitkomen van de beveiligingsupdate op 11 maart. Ook Checkpoint merkt op dat aanvallers met de gestolen hashes relay-aanvallen kunnen uitvoeren of kunnen proberen om de hash te kraken en zo het bijbehorende wachtwoord te achterhalen. Verder stelt het securitybedrijf dat de exploit die misbruik van CVE-2025-24054 maakt overeenkomsten heeft met de exploit voor CVE-2024-43451.

Checkpoint laat weten dat overheidsinstanties en private instellingen in Polen en Roemenië het doelwit van aanvallen zijn geworden. Doelwitten ontvingen onder andere e-mails met een Dropbox-link die naar een zip-bestand wees. Dit zip-bestand maakte misbruik van meerdere bekende kwetsbaarheden, waaronder CVE-2024-43451. Volgens het securitybedrijf laat het snelle misbruik van het lek na het uitkomen van de update zien dat organisaties patches snel moeten toepassen en ervoor moeten zorgen dat NTLM-kwetsbaarheden in hun omgeving worden aangepakt.