Resumen sobre la vulnerabilidad de Microsoft CVE-2025-24054 y su explotación:
El 11 de marzo, durante el Patch Martes, Microsoft lanzó una serie de correcciones de seguridad. Poco tiempo después, el 19 de marzo, se reportó que delincuentes cibernéticos estaban aprovechando una de estas vulnerabilidades en varios objetivos, incluidos aquellos del gobierno y del sector privado en Polonia y Rumania. La vulnerabilidad en cuestión, identificada como CVE-2025-24054, se relaciona con un desacuerdo de hash NTLM, un problema que Microsoft inicialmente había calificado como "menos probable" de ser explotado.
Investigadores de Check Point señalaron que este problema permitía a los atacantes filtrar el hash Net-NTLMV2 o NTLMV2-SSP de una víctima a través de la red. Luego, los criminales cibernéticos podían realizar no solo ataques de "brute force" fuera de línea sobre el hash, sino también ataques de retransmisión, haciéndose pasar por el usuario afectado para acceder a sistemas y realizar acciones en su nombre.
La campaña inicial de ataques se llevó a cabo mediante el uso de correos electrónicos de phishing. Estos correos contenían un archivo comprimido en Dropbox llamado XD.ZIP, que incluía un archivo .library-MS diseñado para explotar la vulnerabilidad CVE-2025-24054. La simple acción de descomprimir el archivo o, en algunos casos, incluso solo visualizar la carpeta en el explorador de Windows, era suficiente para activar un intento de autenticación de SMB (Server Message Block) que filtraba el hash Net-NTLMV2 de la víctima hacia un servidor remoto controlado por los delincuentes.
Los investigadores de Check Point observaron que los hashes robados se enviaban a una dirección IP específica, 159.196.128.120, que había sido previamente marcada por Harfanglab como vinculada al grupo de piratería APT28, también conocido como Fancy Bear, supuestamente respaldado por Rusia. Sin embargo, no se han encontrado pruebas que asocien directamente esta dirección IP con el grupo de hackers.
Para el 25 de marzo, los atacantes habían evolucionado sus métodos. Ya no dependían únicamente de los archivos zip y comenzaron a enviar correos electrónicos conteniendo archivos .library-MS de forma directa. Microsoft informó que esta vulnerabilidad se podía activar con una interacción mínima del usuario, como al hacer un solo clic o hacer clic derecho para inspeccionar el archivo.
La campaña de malware se expandió rápidamente y se identificaron alrededor de diez ataques separados antes de finales de marzo, todos con el objetivo de cosechar hashes NTLMV2. Las credenciales robadas eran transmitidas a servidores SMB controlados por los atacantes, que estaban ubicados en Rusia, Bulgaria, los Países Bajos, Australia y Turquía.
Check Point advirtió que esta explotación rápida destaca la imperante necesidad de que las organizaciones apliquen parches de inmediato y aseguren que las vulnerabilidades relacionadas con NTLM sean abordadas en sus entornos. La mínima interacción del usuario necesaria para activar la vulnerabilidad, junto con la facilidad con la que los atacantes pueden acceder a los hashes NTLM, convierte este problema en una amenaza significativa, especialmente dado que estos hashes pueden ser utilizados en ataques de pase de la altura, donde las credenciales de acceso son utilizadas por los atacantes para escalar privilegios o acceder a otros sistemas sin ser detectados.
Este caso subraya la importancia de la ciberseguridad proactiva y la necesidad de que las organizaciones actúen rápidamente ante las actualizaciones de seguridad, dado el surgimiento veloz de nuevas amenazas en el panorama digital actual.