Eine Schwachstelle in Microsofts NTLM-Authentifizierung wird in freier Wildbahn missbraucht. Durch das Senden manipulierter Dateien in E-Mails leiten bösartige Akteure NTLM-Hashes um, mit denen sie dann auf Rechner zugreifen können. Davor warnt jetzt unter anderem die US-amerikanische IT-Sicherheitsbehörde CISA.
Die attackierte Sicherheitslücke hat Microsoft im März mit Windows-Updates geschlossen. Es handelt sich um eine "NTLM Hash Disclosure Spoofing"-Schwachstelle. "Externe Kontrolle über einen Dateinamen oder Pfad in Windows NTLM ermöglicht nicht autorisierten Angreifern, Spoofing über das Netz auszuführen", beschreibt Microsoft das Leck (CVE-2025-24054, CVSS 6.5, Risiko "mittel"). Das Unternehmen ergänzte die Einschätzung, dass ein Missbrauch wenig wahrscheinlich sei ("Exploitation less likely").
IT-Sicherheitsforscher von Checkpoint haben ab dem 19. März Attacken auf diese Sicherheitslücke beobachtet. Ziel dieser Malware-Kampagne waren Regierung und private Einrichtungen in Polen und Rumänien. Die Angreifer haben E-Mails an Opfer geschickt, die Links auf Dropbox enthielten. Die Archive von dort enthielten Dateien, die mehrere Sicherheitslücken einschließlich CVE-2025-24054 missbrauchen, um NTLMv2-SSP-Hashes abgzugreifen (NTLM Security Support Provider).
Solche NTLM-Relay-Angriffe fallen unter die Kategorie der Man-in-the-Middle-Angriffe (MitM), mit denen die NTLM-Authentifizierung attackiert wird. Anstatt das Passwort zu knacken, fangen Angreifer den Hash ab und geben ihn an einen anderen Dienst weiter, um sich als Benutzer zu authentifizieren, erklären die IT-Forscher.
Mit bösartig manipulierten .library-ms-Dateien erfolgten die dann später auch global beobachteten Angriffe, die die NTLM-Hashes an die Täter umleiteten, die dadurch in eine Man-in-the-Middle-Position gelangten, was ihnen das Kompromittieren der verwundbaren Systeme ermöglichte. Der Exploit in den Dateien wird beim Entpacken des .zip-Archivs aktiv, die späteren Angriffe erfolgten dann mit nicht gepackten Dateien. Microsofts Beschreibung zufolge genügt auch weniger Nutzerinteraktion, um die Lücke zu missbrauchen. Ein Rechtsklick, Drag'n'Drop von Dateien oder einfach das Öffnen eines Ordners mit der präparierten Datei ermöglicht das Ausschleusen der NTLM-Hashes. Die Checkpoint-Analyse enthält am Ende noch Indizien für Angriffe (Indicators of Compromise, IOCs).
Das Update zum Stopfen des Sicherheitslecks hat Microsoft bereits zum März-Patchday veröffentlicht. IT-Verantwortliche sollten sicherstellen, Sicherheitsupdates zügig zu installieren, auch, wenn der vermutete Schweregrad der damit geschlossenen Lücken lediglich "mittel" beträgt.
(
Kommentare