هشت روز از پچ تا بهره برداری برای نقص مایکروسافت • ثبت نام

در تاریخ ۱۱ مارس – پچ سه شنبه – مایکروسافت بوفه معمول رفع اشکال خود را از بین برد. فقط هشت روز بعد ، سوءاستفاده ها یکی از آسیب پذیری ها را با استفاده از آن در برابر اهداف دولت و بخش خصوصی در لهستان و رومانی سلاح کردند.

نقص ویندوز مورد نظر CVE-2025-24054 بود ، یک آسیب پذیری نشت هش NTLM که مایکروسافت به عنوان “کمتر احتمال” مورد سوء استفاده قرار گرفت. به گفته محققان در Check Point ، مهاجمان التماس کردند که متفاوت باشند و بدافزارها را سوء استفاده کنند.

به طور خاص ، از آسیب پذیری می توان برای نشت NET-NTLMV2 یا NTLMV2-SSP هش در شبکه استفاده کرد. به گفته Check Point ، افراد متقاضی می توانند “تلاش کنند تا هش را به صورت آفلاین یا انجام حملات رله انجام دهند” و کاربر را برای دسترسی به چیزها و انجام اقدامات به عنوان آنها جعل می کنند.

در موج اولیه حملات ، ایمیل های فیشینگ قربانیان را مجبور به بارگیری بایگانی ZIP میزبان Dropbox به نام XD.ZIP کردند. در داخل چهار پرونده به دام افتاده ، از جمله یک پرونده .library-MS که CVE-2025-24054 را مورد سوء استفاده قرار می داد ، وجود داشت. به سادگی از آرشیو – یا در بعضی موارد ، فقط مشاهده پوشه در ویندوز اکسپلورر – برای ایجاد تلاش برای احراز هویت برون مرزی SMB کافی بود و هش خالص NTLMV2 قربانی را به یک سرور از راه دور که توسط مهاجمان کنترل می شد ، نشت می کرد.

محققان نقطه چک مشاهده کردند که هش های NTLM سرقت شده به یک آدرس IP خاص منتقل شدند: ۱۵۹.۱۹۶.۱۲۸[.]۱۲۰-آدرسی که قبلاً توسط Harfanglab در ماه ژانویه به عنوان مرتبط با APT28 ، با نام گروه هک کردن خرس فانتزی تحت حمایت روسیه ، پرچم گذاری شده بود. با این حال ، هیچ اطلاعات دیگری در مورد ارتباط مستقیم این IP با گروه وجود ندارد.

تا ۲۵ مارس ، مهاجمان دیگر فقط به بایگانی ZIP باز تکیه نمی کردند و از طریق ایمیل به پرونده های مستقل. library-ms مستقیماً به اهداف شروع کرده بودند. به گفته مایکروسافت ، این سوء استفاده می تواند با حداقل تعامل کاربر ، مانند انتخاب (تک کلیک) یا بازرسی (کلیک راست) پرونده ایجاد شود.

این کمپین بدافزار به سرعت بین المللی شد ، با حدود ۱۰ کمپین جداگانه که تا ۲۵ مارس مشاهده شد ، همه با هدف برداشت هش NTLMV2 انجام شد. اعتبارنامه های سرقت شده به سرورهای SMB تحت کنترل مهاجم واقع در روسیه ، بلغارستان ، هلند ، استرالیا و ترکیه ارسال شد.

Check Point گزارش داد: “این بهره برداری سریع نیاز اساسی سازمانها را برای استفاده از تکه ها بلافاصله برجسته می کند و اطمینان حاصل می کند که آسیب پذیری های NTLM در محیط های خود مورد توجه قرار می گیرند.”

“حداقل تعامل کاربر مورد نیاز برای بهره برداری برای تحریک و سهولتی که مهاجمان می توانند به هش های NTLM دسترسی پیدا کنند ، آن را به یک تهدید اساسی تبدیل می کند ، به خصوص هنگامی که می توان از چنین هشویی در حملات عبور استفاده کرد.” ®