Microsoft NTLM-Sicherheitslücke: CISA warnt vor aktiven Angriffen auf Systeme
Eine Sicherheitslücke im NTLM-Authentifizierungssystem von Microsoft wurde in jüngster Zeit von Angreifern in der Praxis ausgenutzt. Die US-amerikanische IT-Sicherheitsbehörde CISA warnte vor dieser Bedrohung, die durch das Ausnutzen einer Schwachstelle namens NTLM Hash Disclosure Spoofing ermöglicht wird. Diese Schwachstelle, mit dem Identifikator CVE-2025-24054 und einem Sicherheitsbewertungswert von 6,5, erlaubt es nicht autorisierten Akteuren, mithilfe manipulierten Dateien in E-Mails NTLM-Hashes zu stehlen. Diese Hashes sind essenziell für die Authentifizierung auf Rechnern und können Angreifern den Zugang zu Systemen ermöglichen. Microsoft hatte diese Schwachstelle im März bereits durch Sicherheitsupdates behoben, jedoch scheinen die Angriffe weiterhin aktiv zu sein.
Forscher von Checkpoint beobachteten ab dem 19. März Attacken, die sich primär auf Regierungs- und Privatinstitutionen in Polen und Rumänien konzentrierten. Die Täter nutzten E-Mails mit Links zu Dropbox-Dateien, die wiederum manipulierte Dateien enthielten, welche Sicherheitslücken, einschließlich der NTLM Hash Disclosure Spoofing, ausnutzten. Diese Dateien ermöglichten es den Angreifern, in eine sogenannte Man-in-the-Middle-Position zu gelangen, wodurch sie die Kontrolle über verletzliche Systeme erlangten.
Besonders beunruhigend ist, dass der Exploit in diesen Dateien bereits beim Entpacken eines .zip-Archivs aktiv wird und auch ohne umfangreiche Nutzerinteraktion funktioniert. Ein einfacher Rechtsklick, Drag & Drop oder das Öffnen eines Ordners mit der infizierten Datei reichen aus, um die NTLM-Hashes an die Angreifer weiterzuleiten. Die Checkpoint-Analyse liefert zudem Indizien für diese Angriffe (Indicators of Compromise, IOCs), um Abwehrmechanismen zu verbessern.
Microsoft betont in seiner Beschreibung, dass selbst geringe Nutzerinteraktion den Missbrauch der Schwachstelle ermöglicht. Daher ist es von entscheidender Bedeutung, dass Sicherheitsupdates zeitnah installiert werden, insbesondere da das Update zur Behebung dieses Lecks bereits im März-Patchday veröffentlicht wurde und der vermutete Schweregrad des Problems als mittel eingestuft wurde. Wie immer gilt: Die zügige Reaktion auf Sicherheitslücken ist essenziell, um Systeme vor solchen Angriffen zu schützen und die Datenintegrität sowie die Vertraulichkeit von Systemen zu gewährleisten.
Schlagwörter: Microsoft + NTLM + CISA
(pz)
