Een kwetsbaarheid in Windows die NTLM-hashes blootlegt via .library-ms-bestanden wordt momenteel actief misbruikt door hackers in phishingcampagnes die gericht zijn op overheidsinstanties en particuliere bedrijven.
De kwetsbaarheid, aangeduid als CVE-2025-24054, werd verholpen in Microsofts Patch Tuesday van maart 2025. Aanvankelijk werd deze niet als actief misbruikt beschouwd en werd het risico als ‘minder waarschijnlijk’ ingeschat. Het gevaar werd gemeld door BleepingComputer.
Onderzoekers van Check Point meldden echter dat zij al enkele dagen na het beschikbaar komen van de patches actieve exploitatie van CVE-2025-24054 zagen. Ze zagen een piek tussen 20 en 25 maart 2025.
Aanvallers gebruikten één IP-adres dat specialisten eerder in verband brachten met de door de Russische staat gesteunde dreigingsgroep APT28 (‘Fancy Bear’). Dit is echter voor de onderzoekers onvoldoende bewijs voor een definitieve toeschrijving.
NTLM (New Technology LAN Manager) is een authenticatieprotocol van Microsoft. Het gebruikt een challenge-response-methode waarbij het hashes inzet in plaats van platte wachtwoorden. Hoewel NTLM geen wachtwoorden in platte tekst verstuurt, wordt het inmiddels als onveilig beschouwd vanwege kwetsbaarheden zoals replay-aanvallen en het kraken van hashes met brute force-methodes. Daarom is Microsoft begonnen met het geleidelijk uitfaseren van NTLM. Dit ten gunste van Kerberos of Negotiate.
Phishingmail met Dropbox-link
Bij de aanvallen die Check Point meldt verzonden aanvallers phishingmails naar organisaties in Polen en Roemenië. De mails bevatten een Dropbox-link naar een ZIP-archief. Daarin bevindt zich een .library-ms-bestand. Een .library-ms-bestand is een legitiem bestandstype dat, wanneer geopend, een Windows-bibliotheek toont waarin bestanden en mappen uit verschillende bronnen zijn samengevoegd.
In deze phishingaanval was het library-ms-bestand zo ingericht dat het verwees naar een pad op een externe SMB-server die onder controle stond van de aanvaller. Bij het uitpakken van een ZIP-bestand met een .library-ms-bestand, reageert Windows Verkenner hier automatisch op. Hierdoor wordt de kwetsbaarheid CVE-2025-24054 geactiveerd. Windows probeert vervolgens verbinding te maken met de opgegeven SMB-server. Tijdens deze verbinding probeert Windows zich via NTLM te authenticeren. Zo kan de aanvaller de NTLM-hashes van de gebruiker onderscheppen.
In een latere campagne ontdekte Check Point phishingmails met directe bijlagen van .library-ms-bestanden. In dat geval dus zonder ZIP-archief. Alleen al het downloaden van het .library-ms-bestand was voldoende om NTLM-authenticatie naar de externe server uit te lokken. Dit toonde aan dat een archiefbestand niet noodzakelijk was om de kwetsbaarheid uit te buiten.
Minimale gebruikersinteractie is voldoende
Check Point gaf aan dat het op 25 maart 2025 een wereldwijde campagne ontdekte. Hierbij verspreidden criminelen deze bestanden zonder dat ze in een archief zaten. Volgens Microsoft wordt deze kwetsbaarheid al geactiveerd door minimale gebruikersinteractie met het kwaadaardige bestand. Denk aan een enkele klik, of het openen van het contextmenu. Of aan enige andere handeling die geen openen of uitvoeren inhoudt.
Het kwaadaardige archief bevatte daarnaast nog drie andere bestanden. En wel ‘xd.url’, ‘xd.website’ en ‘xd.link’. Deze maken gebruik van oudere kwetsbaarheden rond het lekken van NTLM-hashes en zijn vermoedelijk toegevoegd als back-upmethode voor het geval de library-ms-aanpak faalt.
Volgens Check Point maakten de aanvallers gebruik van SMB-servers met de IP-adressen 159.196.128[.]120 en 194.127.179[.]157.
Het onderscheppen van NTLM-hashes kan leiden tot het omzeilen van authenticatie en het verkrijgen van verhoogde toegangsrechten. Hoewel CVE-2025-24054 slechts als een middelzware kwetsbaarheid wordt beoordeeld, kunnen de gevolgen ernstig zijn.
Gezien de beperkte interactie die nodig is om de kwetsbaarheid te misbruiken, wordt aangeraden dit als een hoog risico te beschouwen. Organisaties wordt geadviseerd om de updates van maart 2025 te installeren en NTLM-authenticatie uit te schakelen indien deze niet noodzakelijk is.