مراکز امنیت فناوری اطلاعات از بهره برداری از آسیب پذیری موجود در ویندوز، در حملات گسترده خبر میدهند. آسیب پذیری CVE-2025-24054 با امتیاز 6.5 یک هش Windows New Technology LAN Manager (NTLM) افشا شده و باگ spoofing است که در آخرین به روز رسانی مایکروسافت نیز رفع شده است.
NTLM حاوی یک کنترل اضافه از نام فایل یا مسیر آسیب پذیری است که به مهاجم احراز هویت نشده امکان اجرای یک spoofing در سراسر شبکه را میدهد.
در گزارش مایکروسافت آمده است که آسیب پذیری می تواند با کمترین عکس العمل مانند کلیک، راست کلیک یا فعالیت دیگری مانند باز کردن یا اجرای فایل و با یک فایل Library-ms جعلی خاص، مورد بهره برداری قرار گیرد.
در حالی که مایکروسافت شدت آسیب پذیری CVE-2025-24054 کم تلقی نموده، این نقص امنیتی از 19 مارس، طبق گفته Check Point، مورد بهرهبرداری فعال قرار گرفته است و در نتیجه به مهاجمان اجازه میدهد تا هشهای NTLM یا رمزهای عبور کاربران را فاش کرده و به سیستمها نفوذ کنند.
طبق گفتهی Check Point، این فایل از طریق آرشیوهای ZIP توزیع میشود و باعث میشود ویندوز اکسپلورر یک درخواست احراز هویت SMB را به یک سرور راه دور ارسال کند و هش NTLM کاربر را بدون هیچ گونه تعاملی با کاربر، صرفاً پس از دانلود و استخراج محتویات آرشیو، فاش کند.
با این حال اخیرا در 25 مارچ 2025 نیز کمپین فیشینگ دیگری مشاهده شده که فایلی بنام Info.doc.library-ms را بدون هیچ فشرده سازی ای ارائه میدهد. از زمان موج اول حملات مربوط به این آسیب پذیری تا کنون حداقل 10 کمیپین با هدف بازیابی هش های NTLM از قربانیان هدف، مشاهده شده است.
این بهره برداری های سریع نیاز حیاتی سازمانها به اعمال و نصب فوری به روز رسانی ها و اطمینان از رفع آسیب پذیری ها و اعمال حفاظت در برابر آنها را برجسته می کند. با توجه به حداقل تعامل کاربر موردنیاز، بهره برداری از این آسیب پذیری و سهولت دسترسی مهاجم به هش های NTLM می تواند تبدیل به یک تهدید قابل توجه شود به خصوص که چنین هش هایی را میتوان در حملات pass-the-hash استفاده کرد.
منبع:
