Microsoft Windows’ta CVE-2025-24054 olarak tanımlanan kritik bir güvenlik açığı, 19 Mart 2025’ten beri vahşi doğada aktif olarak sömürüldü.
NTLM karma tarama yoluyla hash açıklamasını sağlayan kusur, saldırganların hassas kullanıcı kimlik bilgilerini minimum etkileşimle hasat etmelerini sağlar, bu da potansiyel olarak ayrıcalık artışına ve tam ağ uzlaşmasına yol açar.
Microsoft’un 11 Mart 2025’te bir yama yayınlamasına rağmen, tehdit aktörleri hızla fırsat penceresinde büyük harfle aktardı ve özellikle Polonya ve Romanya’da hükümet ve özel kurumlara yönelik hedef kampanyalar başlattı.
.png
)
Windows NTML Güvenlik Açığı: CVE-2025-24054
CVE-2025-24054, Windows Gezgini’ni etkiler ve uzak bir sunucuya yetkisiz bir sunucu mesaj bloğu (SMB) kimlik doğrulama isteği başlatabilen kötü niyetli bir şekilde hazırlanmış bir .library-MS dosyası tarafından tetiklenir.
Bu işlem, bir kullanıcının NTLM (Yeni Teknoloji LAN Yöneticisi) kimlik doğrulama protokolünde kullanılan bir kullanıcının NTLMV2-SSP hash’ı, kullanıcının dosyayı açmasını veya yürütmesini gerektirmeden sızdırır.
Kötü amaçlı dosyayı içeren bir klasöre sağ tıklama, sürükleme ve bırakma veya gezinme kadar basit eylemler istismar etkinleştirebilir.
Sızan NTLMV2-SSP karma, bir kullanıcının şifresini ortaya çıkarmak için kaba bir şekilde zorlanabilir veya NTLM röle saldırılarında kullanılabilir, bu da saldırganların kurbanı taklit etmesine ve diğer ağ hizmetlerine kimlik doğrulamasına izin veren bir tür ortadaki sömürü.
Uzaklaştırılmış hesap yüksek ayrıcalıklara sahipse, saldırganlar bir ağ boyunca yanal hareket veya hatta tam alan uzmanı, özellikle SMB imzası gibi sağlam korumaları olmayan ortamlarda sağlayabilir.
Bu güvenlik açığı, 2024 yılında Ukraynalı varlıkları hedeflemek için sömürülen daha önce yamalı bir kusur olan CVE-2024-43451’e çarpıcı benzerlikler taşıyor.
Her iki güvenlik açıkları da, Microsoft’un NTLMV2 ile güvenliği artırma çabalarına rağmen, NTLM kimlik doğrulamasındaki kalıcı zayıflıkları vurgulamaktadır.
Vahşi doğada sömürü
Microsoft’un yamasından sadece sekiz gün sonra Check Point Research tanımlanmış CVE-2025-24054’ten yararlanan ilk kampanya.
25 Mart 2025’e kadar, kurbanların Rusya, Bulgaristan, Hollanda, Avustralya ve Türkiye gibi ülkelerde barındırılan kötü niyetli SMB sunucuları aracılığıyla kurbanların NTLMV2-SSP karmalarını hedefleyen yaklaşık on kampanya ortaya çıktı.
20 ve 21 Mart 2025 yılları arasında Polonya ve Romanya hükümetini ve özel kurumları hedefleyen “NTLM Sustam Lomits Bombası” olarak adlandırılan dikkate değer bir kampanya.
Saldırganlar, XD.ZIP adlı bir arşive Dropbox bağlantıları içeren kimlik avı e -postalarını dağıttı. Arşivsiz bir kez, CVE-2025-24054 dahil olmak üzere birden fazla istismar tetikledi, 159.196.128.120 IP adresindeki kötü niyetli bir SMB sunucusuna bağlı olan XD.Library-MS gibi dosyalar aracılığıyla.
XD.URL, XD.WebSite ve XD.LNK gibi ek dosyalar, KOBİ bağlantıları aracılığıyla kimlik bilgilerini hasat etmek için CVE-2024-43451 dahil olmak üzere ilgili güvenlik açıklarından yararlandı.
İlk raporlar, istismarın tetiklenmesi için arşivin çözülmesinin gerekli olduğunu öne sürdü.
Bununla birlikte, Microsoft’un belgeleri ve sonraki bulguları, kötü amaçlı dosyayı içeren klasöre gitmek gibi minimal etkileşimlerin bile etkinleştirebileceğini ortaya koydu.
25 Mart 2025’te Check Point Research, ZIPLI. Library-MS dosyalarını dağıtarak ayrı bir kampanya ortaya çıkardı ve ekstraksiyon ihtiyacını ortadan kaldırarak tehdidi daha da artırdı.
Microsoft’un yanıtı ve hafifletme
Microsoft, CVE-2025-24054’ü 11 Mart 2025’te güvenlik güncellemesinde ele aldı ve başlangıçta CVE-2025-24054’e güncellemeden önce CVE-2025-24071 tanımlayıcısını atadı.
Yama, Windows Explorer’ın kötü niyetli. Library-MS dosyalarını işlerken NTLMV2-SSP karmalarını sızdırmasını önler.
Bununla birlikte, yama sürümü ve aktif sömürü arasındaki sekiz günlük boşluk, hızlı yama dağıtımına yönelik kritik ihtiyacı vurgulamaktadır.
Check Point’in Tehdit Emülasyonu ve Harmony Uç Noktası Çözümleri, bu saldırılara karşı koruma sağlar, imza istismarı altındaki istismarın tespiti ve engellenmesi.
Kuruluşlardan yamayı derhal uygulamaya, KOBİ imzalamaya ve riskleri azaltmak için NTLM rölesi korumalarını uygulamaya istenir. NTLM’yi mümkün olan Kerberos gibi daha güvenli protokoller lehine devre dışı bırakmak, maruz kalmayı daha da azaltabilir.
NTLM karmalarının hasat edilme ve silahlandırılabilmesi kolaylığı, eski kimlik doğrulama protokollerini aşamalı olarak kaldırma ve modern, güvenli alternatifleri benimseme ihtiyacının altını çiziyor.
Siber suçlular taktiklerini geliştirmeye devam ettikçe, hassas sistemleri ve verileri korumak için uyanıklık ve hızlı tepki kritik öneme sahiptir.
Uzlaşma göstergeleri
| Tanım | Değer |
|---|---|
| Arşiv ntlm bomba istismar | 9ca72d969d7c5494a30e996324c6c0fcb72ae1ae |
| xd.webite | 84132AE00239E15B50C1A20126000ED29388100 |
| XD.URL | 76E93C97FDB5ADB50C966BCA22E12C4508DCAA |
| XD.Library-MS | 7dd0131d4660be562bc869675772e58a1e3ac8e |
| Xd.lnk | 5E42C6D12F6B51364B6BFB170F4306C5CE608B4F |
| NTLM bomba uç noktasını sömürür | 159.196.128[.]120 |
| Zırhlı Seyirler | 054784f1a398a35e0c5242cbfa164df0c277da73 7A43C177A582C77E258246F0BA818F9E73A69AB |
| Zırsız kampanya uç noktası | 194.127.179[.]157 |