A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de média gravidade do Windows em seu catálogo de falhas exploradas conhecidas (KEV). A brecha, identificada como CVE-2025-24054, permite que atacantes obtenham hashes NTLM — método de autenticação legado do Windows — por meio de arquivos maliciosos, facilitando ataques de movimentação lateral em redes.

A falha, corrigida pela Microsoft em março de 2025, foi explorada em campanhas contra instituições governamentais e privadas da Polônia e Romênia. Em tais casos, os invasores distribuíam links do Dropbox com arquivos ZIP contendo exploits, que vazavam hashes NTLMv2-SSP sem exigir interação além do download e extração do conteúdo. Ataques similares já haviam atingido a Ucrânia e Colômbia em 2024, vinculados a grupos como UAC-0194 e Blind Eagle.

A Microsoft destacou que o risco surge mesmo com ações mínimas do usuário, como visualizar um arquivo .library-ms manipulado. Embora a empresa considerasse inicialmente a exploração "pouco provável", a falha foi usada em pelo menos 10 campanhas recentes. O problema é uma variante do CVE-2024-43451, também relacionado a vazamentos de hashes NTLM, o que reforça a necessidade de atualizações imediatas.

A CISA determinou que agências federais dos EUA apliquem os patches até 8 de maio de 2025. Especialistas alertam que hashes NTLM podem ser usados em ataques de "passagem de hash" para elevação de privilégios, tornando crítico o gerenciamento proativo de vulnerabilidades em ambientes corporativos.

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4o, com revisão humana.

Com informações de The Hacker News