La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de Estados Unidos incorporó el pasado jueves una vulnerabilidad de gravedad media (CVSSv3: 6.5), identificada como CVE-2025-24054, a su Catálogo de Vulnerabilidades Explotadas Activamente (KEV).
Este fallo, clasificado como una vulnerabilidad de suplantación de identidad (spoofing), afecta al protocolo NTLM (New Technology LAN Manager) de Microsoft Windows y permite la divulgación de hashes. Aunque Microsoft ya corrigió el problema en el «Patch Tuesday» del mes anterior, su explotación activa en entornos reales fue confirmada el 19 de marzo de 2025, según reportes de Check Point Research.
El protocolo NTLM, que fue oficialmente reemplazado por Kerberos en 2024, ha sido durante años un blanco frecuente de ataques como pass-the-hash y relay attacks. La vulnerabilidad CVE-2025-24054 se debe a un fallo en el control externo del nombre de archivo o ruta (CWE-73). Este error permite a un atacante no autenticado suplantar la identidad a nivel de red manipulando archivos .library-ms.
Según Microsoft, para que el ataque tenga éxito se requiere una mínima interacción por parte del usuario, sin necesidad de abrir ni ejecutar el archivo comprometido.
CVE-2025-24054, Exploit PCAP. — Fuente: Research Checkpoint
Check Point detalla que la explotación se ha integrado en campañas de malspam que distribuyen enlaces a archivos alojados en Dropbox. Estos contienen ficheros .zip maliciosos diseñados para desencadenar solicitudes SMB (Server Message Block) desde Windows Explorer a servidores controlados por atacantes, exfiltrando hashes NTLMv2-SSP sin requerir interacción adicional tras la descarga y descompresión. Un ejemplo documentado incluye ataques a entidades gubernamentales y privadas en Polonia y Rumania entre el 20 y 21 de marzo de 2025. Adicionalmente, campañas posteriores han empleado el archivo Info.doc.library-ms sin compresión, evitando mecanismos de detección basados en análisis de paquetes.
CVE-2025-24054 es una variante de CVE-2024-43451 (parcheado en noviembre de 2024), explotada previamente por grupos como UAC-0194 y Blind Eagle en ataques dirigidos a Ucrania y Colombia. Estos actores aprovechan los hashes obtenidos para facilitar movimientos laterales y escalada de privilegios dentro de redes comprometidas. Microsoft, pese a calificar inicialmente la explotabilidad como «menos probable», reconoce la autoría del descubrimiento a investigadores independientes, incluyendo a Rintaro Koike (NTT Security Holdings), 0x6rss y j00sean.
La combinación de baja fricción en la explotación y el valor intrínseco de los hashes NTLM para ataques posteriores, eleva el riesgo crítico para organizaciones con exposición de protocolos heredados. CISA ha establecido el 8 de mayo de 2025 como fecha límite para que agencias federales implementen los parches correspondientes. Como medidas complementarias, se recomienda:
- Deshabilitar NTLM mediante políticas de grupo, priorizando Kerberos.
- Implementar reglas de bloqueo de SMB saliente no autorizado en firewalls.
- Monitorizar tráfico SMB hacia dominios no confiables y aplicar segmentación de red.
- Educar a usuarios sobre manipulación de archivos .library-ms y comprimidos de origen desconocido.
La recurrencia de explotaciones relacionadas con NTLM subraya la necesidad crítica de eliminar protocolos obsoletos y priorizar parches en ventanas de exposición reducidas. La persistencia de estos vectores en campañas avanzadas refuerza su utilidad táctica para actores de amenazas en fases iniciales de intrusiones.
Fuentes:
- CVE-2025-24054 Under Active Attack—Steals NTLM Credentials on File Download https://vulners.com/thn/THN:95C876E2AE4F101CE2B1FC68D68915AE
- CVE-2025-24054 Under Active Attack—Steals NTLM Credentials on File Download https://thehackernews.com/2025/04/cve-2025-24054-under-active.html
- CVE-2025-24054, NTLM Exploit in the Wild https://research.checkpoint.com/2025/cve-2025-24054-ntlm-exploit-in-the-wild/
Deja una respuesta