NTLM-Sicherheitslücke in Microsoft Windows unter aktiver Ausnutzung

MÜNCHEN (IT BOLTWISE) – Eine kürzlich entdeckte Sicherheitslücke in Microsoft Windows, die als CVE-2025-24054 identifiziert wurde, sorgt derzeit für Aufsehen in der IT-Sicherheitsbranche. Diese Schwachstelle betrifft das veraltete NTLM-Authentifizierungsprotokoll und wird aktiv von Cyberkriminellen ausgenutzt, um NTLM-Hashes zu stehlen und potenziell auf sensible Daten zuzugreifen.

Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) hat eine neue Sicherheitslücke in Microsoft Windows in ihren Katalog der bekannten ausgenutzten Schwachstellen aufgenommen. Diese als CVE-2025-24054 identifizierte Schwachstelle betrifft das NTLM-Authentifizierungsprotokoll, das von Microsoft im letzten Jahr zugunsten von Kerberos offiziell abgelöst wurde. Trotz der offiziellen Abkehr von NTLM haben Bedrohungsakteure weiterhin Wege gefunden, diese Technologie auszunutzen, um NTLM-Hashes zu extrahieren und für weiterführende Angriffe zu verwenden.

Die Schwachstelle ermöglicht es Angreifern, durch minimalen Benutzerkontakt mit einer speziell gestalteten .library-ms-Datei NTLM-Hashes zu stehlen. Dies kann durch einfaches Auswählen oder Inspektieren der Datei geschehen, ohne dass sie geöffnet oder ausgeführt werden muss. Microsoft hat diese Schwachstelle im Rahmen seiner Patch-Dienstag-Updates im letzten Monat behoben, doch Berichte über aktive Ausnutzung in der freien Wildbahn häufen sich seit dem 19. März.

Ein kürzlich beobachteter Angriff zielte auf Regierungs- und Privatinstitutionen in Polen und Rumänien ab. Cyberkriminelle nutzten Malspam, um einen Dropbox-Link zu verbreiten, der ein Archiv mit mehreren bekannten Schwachstellen, einschließlich CVE-2025-24054, enthielt. Diese Angriffe führten dazu, dass NTLMv2-SSP-Hashes gesammelt wurden, was das Risiko von lateralen Bewegungen und Privilegieneskalationen innerhalb kompromittierter Netzwerke erhöht.

Die Schwachstelle wird als Variante von CVE-2024-43451 betrachtet, die im November 2024 von Microsoft gepatcht wurde. Diese wurde ebenfalls in der freien Wildbahn ausgenutzt, insbesondere in Angriffen auf die Ukraine und Kolumbien durch Bedrohungsakteure wie UAC-0194 und Blind Eagle. Die Verbreitung der Datei erfolgt über ZIP-Archive, die Windows Explorer dazu veranlassen, eine SMB-Authentifizierungsanfrage an einen Remote-Server zu senden und den NTLM-Hash des Benutzers ohne jegliche Benutzerinteraktion zu leaken.

Die Dringlichkeit, diese Schwachstelle zu beheben, wird durch die Tatsache unterstrichen, dass seit der ersten Angriffswelle mindestens zehn weitere Kampagnen beobachtet wurden, die darauf abzielen, NTLM-Hashes von den Opfern zu sammeln. Diese schnelle Ausnutzung verdeutlicht die kritische Notwendigkeit für Organisationen, Patches sofort anzuwenden und sicherzustellen, dass NTLM-Schwachstellen in ihren Umgebungen adressiert werden. Die minimale Benutzerinteraktion, die erforderlich ist, um den Exploit auszulösen, und die Leichtigkeit, mit der Angreifer Zugriff auf NTLM-Hashes erlangen können, machen dies zu einer erheblichen Bedrohung.

Bundesbehörden der zivilen Exekutive sind verpflichtet, die erforderlichen Korrekturen bis zum 8. Mai 2025 anzuwenden, um ihre Netzwerke angesichts der aktiven Ausnutzung zu sichern. Diese Maßnahmen sind entscheidend, um die Integrität und Sicherheit sensibler Informationen zu gewährleisten und die Risiken von Cyberangriffen zu minimieren.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!