Microsoft’un geçen ay boyunca yamalar yayınladığı bir Windows NTLM karma açıklama kırılganlığı olan CVE-2025-24054, Polonya ve Romanya’daki hükümeti ve özel kurumları hedefleyen kampanyalarda tehdit aktörleri tarafından kaldırıldı.
Check Point araştırmacıları, “Vahşi doğada aktif sömürü, 19 Mart 2025’ten beri gözlemlendi, potansiyel olarak saldırganların NTLM karma veya kullanıcı şifrelerini sızdırmasına ve tehlike oluşturmalarına izin verdi” dedi.
CVE-2025-24054 HAKKINDA
CVE-2025-24054, saldırganların kurbanların makinesi tarafından bir kimlik doğrulama isteği başlatan saldırgan tarafından işletilen bir SMB sunucusuna gönderilen NTLMV2 yanıtını (yani NTLMV2-SSP karma) yakalamasına izin verir.
Saldırganlar bu yakalanan karma çevrimdışı olarak kabartmaya çalışabilir veya röle saldırıları yapmak için kullanabilir.
Araştırmacılar, “NTLM rölesi saldırıları, NTLM kimlik doğrulama protokolünden yararlanan ortadaki insan (MITM) saldırıları kategorisine giriyor. Şifreyi kırmak yerine, saldırgan karma yakalar ve kullanıcı olarak kimlik doğrulaması yapmak için başka bir hizmete aktarır” diye açıkladı.
“NTLM röle saldırıları, çalıntı kimlik bilgileri ayrıcalıklı bir kullanıcıya ait olduğunda çok daha tehlikelidir, çünkü saldırgan bunu ağdaki ayrıcalık artış ve yanal hareket için kullanır.”
Üç araştırmacı tarafından Microsoft’a özel olarak açıklanan CVE-2025-24054, şirket tarafından “daha az” sömürülme olasılığı olarak kabul edildi.
Microsoft başlangıçta CVE-2025-24071’i güvenlik açığına atamıştı, ancak daha sonra yeni bir tanımlayıcı oluşturdu: CVE-2025-24054. Her ikisi de 11 Mart 2025’te yamalandı ve her ikisi de yetkisiz bir saldırganın bir ağ üzerinde sahtekarlık yapmasına izin verebilir, ancak birincisi, özel olarak hazırlanmış bir dosya içeren bir klasör açmayı gerektirirken, ikincisi sadece kötü niyetli dosyayla etkileşime girmesini (örneğin, seçin, inceleyin, hareket ettirmesini) ve zorunlu olarak açıp yürütmemeyi gerektirir.
Bu bağlamda, CVE-2025-24054, 2024’te Ukrayna varlıklarını hedeflemek için sıfır gün olarak sömürülen bir güvenlik açığı olan CVE-2024-43451’e benzer.
Benekli saldırı kampanyaları
Başlangıçta CVE-2025-24054’ü işaretleyen araştırmacılardan biri, sırasıyla 16 ve 18 Mart’ta kusurda bir POC istismarı ve teknik bir yazı yayınladı.
Check Point araştırmacıları, CVE-2025-24054’ten yararlanan ilk saldırıların 19 Mart’ta tespit edildiğini ve Polonya ve Romanya’daki hükümet ve özel kurumları hedefleyen kampanyanın 20 Mart ve 21 Mart civarında başladığını söylüyor.
Araştırmacılar, “Kampanya, bir arşiv dosyası içeren e -posta kimlik avı bağlantıları aracılığıyla kurbanları hedef aldı” dedi.
“Arşiv xd.zip Dropbox’tan indirildi ve yalnızca NTLMV2-SSP karmalarını sızdırmak amacıyla içeriyor. Bu dört gömülü dosya, IP adresi 159.196.128 ile kötü niyetli bir SMB sunucusuyla iletişime geçti.[.]120. ”
Arşivde yer alan dosyalardan biri CVE-2025-24054’ü tetiklerken, bir diğeri CVE-2024-43451’den yararlandı. Harfanglab araştırmacıları tarafından yapılan önceki bir rapora göre, sunucunun IP adresi daha önce APT28, yani Fancy Bear veya Forest Blizzard ile ilişkilendirilmişti.
25 Mart’a kadar Check Point, hedeflenen kurbanlardan NTLMV2-SSP karma elde etmek amacıyla nihai hedefi olan yaklaşık 10 ek kampanya gözlemledi. O gün, dünyanın dört bir yanındaki bir hedefleme şirketini gördüler.
Kimlik avı e -postaları, sıkıştırılmamış bir istismar dosyası içeren eki indirmek için hedefleri kandırmak için dikkatle oluşturuldu:
Sustamlama dosyası ekli kimlik avı e -postası (Kaynak: Kontrol Noktası Araştırma)
Araştırmacılar, “Mağdurlar istismar indirir indirmez NTLMV2-SSP karmaları sızdırıldı” dedi.
CVE-2025-24054 için düzeltmeler
Genellikle uzaktan kod yürütülmesine yol açan kusurlar kadar yüksek riskli olarak kabul edilmeseler bile, bazı saldırganların NTLM güvenlik açıklarından hızlı bir şekilde yararlanmaya hazır oldukları ve onlar için yamaların öncelik verilmesi gerektiği açıktır-özellikle NTLMV2, Microsoft’un resmi olarak yoksun bırakılmış ve URGEDED KİPLERİNDE KAYNAKLARIN YÜKSEKLERİ için yaygın olarak kullanıldığı için.
Microsoft, desteklenen tüm Windows ve Windows Server sürümleri için CVE-2025-24054 için yamalar yayınladı, ancak hala eski, desteklenmeyen sürümler kullananlar için-örneğin, Windows 7, Windows 10 V21H2, Windows Server 2008 R2 ve Server 2012 R2-MicroPatching, geçerli bir çözümdür.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!