Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) pada hari Kamis menambahkan cacat keamanan medium-severitas yang berdampak pada Microsoft Windows ke katalog kerentanan yang diketahui dieksploitasi (KEV), mengikuti laporan eksploitasi aktif di alam liar.
Kerentanan, menugaskan pengidentifikasi CVE CVE-2025-24054 (Skor CVSS: 6.5), adalah Windows New Technology LAN Manager (NTLM) Hash Disclosure Bug Spoofing yang ditambal oleh Microsoft bulan lalu sebagai bagian dari pembaruan Patch Tuesday.
NTLM adalah protokol otentikasi warisan yang secara resmi Microsoft sudah usang tahun lalu demi Kerberos. Dalam beberapa tahun terakhir, para aktor ancaman telah menemukan berbagai metode untuk mengeksploitasi teknologi, seperti serangan pass-the-hash dan relai, untuk mengekstraksi hash NTLM untuk serangan lanjutan.
“Microsoft Windows NTLM berisi kontrol eksternal nama file atau kerentanan jalur yang memungkinkan penyerang yang tidak sah untuk melakukan spoofing melalui jaringan,” kata CISA.
Dalam sebuah buletin yang diterbitkan pada bulan Maret, Microsoft mengatakan kerentanan dapat dipicu oleh interaksi minimal dengan file .library-MS yang dibuat khusus, seperti “Memilih (klik tunggal), memeriksa (klik kanan), atau melakukan tindakan selain membuka atau menjalankan file.”
Raksasa teknologi itu juga memuji Rintaro Koike dengan NTT Security Holdings, 0x6RSS, dan J00Sean untuk menemukan dan melaporkan cacat.
Sementara Microsoft telah memberi CVE-2025-24054 penilaian eksploitabilitas “eksploitasi lebih kecil kemungkinannya,” cacat keamanan sejak eksploitasi aktif sejak 19 Maret, per titik cek, sehingga memungkinkan aktor buruk untuk membocorkan hash NTLM atau kata sandi pengguna dan sistem infiltrasi.
“Sekitar 20-21 Maret 2025, sebuah kampanye menargetkan lembaga pemerintah dan swasta di Polandia dan Rumania,” kata perusahaan cybersecurity itu. “Penyerang menggunakan Malspam untuk mendistribusikan tautan dropbox yang berisi arsip yang mengeksploitasi beberapa kerentanan yang diketahui, termasuk CVE-2025-24054, untuk memanen hash NTLMV2-SSP.”
Kelemahan tersebut dinilai menjadi varian CVE-2024-43451 (skor CVSS: 6.5), yang ditambal oleh Microsoft pada November 2024 dan juga telah dipersenjatai di alam liar dalam serangan yang menargetkan Ukraina dan Kolombia oleh aktor ancaman seperti UAC-0194 dan Eagle buta.
Menurut Titik Periksa, file didistribusikan melalui arsip ZIP, menyebabkan Windows Explorer untuk memulai permintaan otentikasi SMB ke server jarak jauh dan membocorkan hash NTLM pengguna tanpa interaksi pengguna hanya setelah mengunduh dan mengekstraksi konten arsip.
Yang mengatakan, kampanye phishing lain yang diamati baru-baru ini pada 25 Maret 2025, telah ditemukan mengirimkan file bernama “info.doc.library-ms” tanpa kompresi. Sejak gelombang serangan pertama, tidak kurang dari 10 kampanye telah diamati dengan tujuan akhir untuk mengambil hash NTLM dari korban yang ditargetkan.
“Serangan-serangan ini memanfaatkan file. Library-MS yang berbahaya untuk mengumpulkan hash NTLMV2 dan meningkatkan risiko gerakan lateral dan peningkatan hak istimewa dalam jaringan yang dikompromikan,” kata Check Point.
“Eksploitasi yang cepat ini menyoroti kebutuhan kritis bagi organisasi untuk segera menerapkan tambalan dan memastikan bahwa kerentanan NTLM dibahas di lingkungan mereka. Interaksi pengguna minimal yang diperlukan untuk eksploitasi untuk memicu dan kemudahan penyerang dapat mendapatkan akses ke hash NTLM menjadikannya ancaman yang signifikan, terutama ketika hashs tersebut dapat digunakan dalam serangan lulus.”
Lembaga Cabang Eksekutif Sipil (FCEB) Federal diharuskan menerapkan perbaikan yang diperlukan untuk kekurangan pada 8 Mei 2025, untuk mengamankan jaringan mereka mengingat eksploitasi aktif.
