ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) Perşembe günü, Microsoft Windows’u etkileyen, vahşi doğada aktif sömürü raporlarının ardından Microsoft Windows’u etkileyen bir orta yüzlü güvenlik kusuru ekledi.
Güvenlik Açığı, CVE tanımlayıcısını atadı CVE-2025-24054 (CVSS Puanı: 6.5), Salı günkü güncellemelerinin bir parçası olarak geçen ay Microsoft tarafından yamalanan Windows New Technology LAN Manager (NTLM) karma açıklama hatası hatasıdır.
NTLM, Microsoft’un geçen yıl Kerberos lehine resmi olarak kullanımdan kaldırıldığı eski bir kimlik doğrulama protokolüdür. Son yıllarda, tehdit aktörleri, takip eden saldırılar için NTLM karmalarını çıkarmak için horh ve röle saldırıları gibi teknolojiyi kullanmak için çeşitli yöntemler buldular.
Cisa, “Microsoft Windows NTLM, yetkisiz bir saldırganın bir ağ üzerinde sahtekarlık yapmasını sağlayan dosya adının veya yol güvenlik açığının harici bir kontrolünü içerir.” Dedi.
Mart ayında yayınlanan bir bültende Microsoft, güvenlik açığının, “seçme (tek tıklama), denetleme (sağ tıklama) veya dosyayı açmak veya yürütmek dışında bir eylem gerçekleştirme” gibi özel olarak hazırlanmış bir .library-MS dosyasıyla minimal etkileşim ile tetiklenebileceğini söyledi.
Teknoloji devi ayrıca Rintaro Koike’a NTT Security Holdings, 0x6RSS ve J00SEAN ile kusuru keşfetmek ve raporlamak için kredilendirdi.
Microsoft, CVE-2025-24054’e “sömürü daha az olası” bir sömürülebilirlik değerlendirmesi vermiş olsa da, güvenlik kusuru 19 Mart’tan bu yana kontrol noktasına göre aktif sömürü altına girdi ve böylece kötü aktörlerin NTLM karma veya kullanıcı şifrelerini sızdırmasına izin verdi.
Siber güvenlik şirketi, “20-21 Mart 2025 civarında, bir kampanya Polonya ve Romanya’daki hükümeti ve özel kurumları hedef aldı.” Dedi. “Saldırganlar Malspam’ı, CVE-2025-24054 de dahil olmak üzere bilinen birden fazla güvenlik açıkından yararlanan bir arşiv içeren bir Dropbox bağlantısı dağıtmak için NTLMV2-SSP karmalarını toplamak için kullandılar.”
Kusur, Kasım 2024’te Microsoft tarafından yamalanan ve UAC-0194 ve kör kartal gibi tehdit aktörleri tarafından Ukrayna ve Kolombiya’yı hedefleyen saldırılarda vahşi doğada silahlandırılan CVE-2024-43451’in (CVSS skoru: 6.5) bir varyantı olarak değerlendirildi.
Check Point’e göre, dosya ZIP arşivleri aracılığıyla dağıtılır ve Windows Explorer’ın uzak bir sunucuya SMB kimlik doğrulama isteği başlatmasına ve sadece arşivin içeriğini indirip çıkardıktan sonra kullanıcı etkileşimi olmadan kullanıcının NTLM karmasını sızdırmasına neden olur.
Bununla birlikte, 25 Mart 2025 kadar yakın bir tarihte gözlemlenen başka bir kimlik avı kampanyası, herhangi bir sıkıştırılmadan “info.doc.library-ms” adlı bir dosya sunarken bulundu. İlk saldırı dalgasından bu yana, hedeflenen kurbanlardan NTLM karmalarını almak amacıyla en az 10 kampanya gözlenmiştir.
Check Point, “Bu saldırılar kötü niyetli. NTLMV2 karmalarını toplamak ve uzlaşmış ağlarda yanal hareket ve ayrıcalık artış riskini arttırmak için kötü niyetli .library-MS dosyalarından yararlandı.” Dedi.
“Bu hızlı sömürü, kuruluşların yamaları hemen uygulama ve NTLM güvenlik açıklarının çevrelerinde ele alınmasını sağlama kritik ihtiyacını vurgular. Sömürünün tetiklenmesi için gereken minimal kullanıcı etkileşimi ve saldırganların NTLM karmalarına erişebilme kolaylığı, özellikle de bu tür karma haşmanların geçiş saldırılarında kullanılabileceği zaman” bunu önemli bir tehdit haline getirir. “
Federal Sivil Yürütme Şubesi (FCEB) ajanslarının, ağlarını aktif sömürü ışığında güvence altına almak için 8 Mayıs 2025 yılına kadar eksiklik için gerekli düzeltmeleri uygulamaları gerekmektedir.