Windows-lek actief misbruikt in phishingaanvallen
Volgens onderzoekers van Check Point zijn overheden en bedrijven in onder meer Polen en Roemenië het doelwit van deze gerichte aanvallen. Dat meldt Bleeping Computer.
NTLM-hashlek: CVE-2025-24054
De kwetsbaarheid staat bekend als CVE-2025-24054 en werd door Microsoft gepatcht tijdens Patch Tuesday in maart 2025. Aanvankelijk werd het risico als “minder waarschijnlijk” geclassificeerd, maar enkele dagen later doken al de eerste aanvallen op. In de campagne werd een Dropbox-link verzonden via e-mail, die leidde naar een ZIP-bestand met een .library-ms-bestand. Zodra het bestand werd uitgepakt, maakte Windows automatisch verbinding met een externe SMB-server onder controle van de aanvaller. Tijdens dit proces probeert Windows zich te authenticeren via NTLM en worden de NTLM-hashes dus gelekt. Later ontdekte Check Point dat het zelfs niet nodig is om het bestand uit een ZIP te halen: het openen of selecteren van het .library-ms-bestand is al genoeg om de aanval te triggeren.
Minimale interactie, maximale impact
Volgens Microsoft is enkel een muisklik, rechtermuisklik of inspectie van het bestand voldoende om het lek te activeren. Het gaat dus om een zero-click-achtige aanval met zeer lage interactiedrempel, wat het risico aanzienlijk vergroot. De aanvallers maakten ook gebruik van aanvullende bestanden (xd.url, xd.website, en xd.link) die oude NTLM-lekken uitbuiten, vermoedelijk als back-up voor het geval de hoofdmethode faalt. Hoewel Microsoft het lek als “medium” inschaalt, wijzen onderzoekers erop dat verworven NTLM-hashes kunnen leiden tot privilege-escalatie en authenticatieomzeiling , met potentieel grote gevolgen.
Wat kun je doen?
Check Point koppelde één IP-adres aan de Russische APT28-groep (“Fancy Bear”), al is er onvoldoende bewijs voor definitieve toewijzing. Intussen adviseert de securityspecialist dringend om de maart 2025-update van Windows te installeren. Daarnaast is het aangeraden NTLM-authenticatie uit te schakelen als die niet strikt noodzakelijk is. Tot slot wil Check Point gebruikers sensibiliseren rond verdachte bijlagen, ook als het ogenschijnlijk onschuldige Windows-bestanden zijn.
Met NTLM op zijn retour en Kerberos in opmars, is dit incident opnieuw een duidelijk signaal dat verouderde authenticatieprotocollen snel en consequent moeten worden uitgefaseerd.
