{"id":12131,"date":"2025-04-22T07:10:07","date_gmt":"2025-04-22T07:10:07","guid":{"rendered":"https:\/\/byte-bucket.com\/2025\/04\/22\/microsoft-ntlm-sicherheitsluecke-cisa-warnt-vor-aktiven-angriffen-auf-systeme\/"},"modified":"2025-04-22T11:04:27","modified_gmt":"2025-04-22T11:04:27","slug":"microsoft-ntlm-sicherheitsluecke-cisa-warnt-vor-aktiven-angriffen-auf-systeme","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=12131","title":{"rendered":"Microsoft NTLM-Sicherheitsl\u00fccke: CISA warnt vor aktiven Angriffen auf Systeme"},"content":{"rendered":"<p>Eine Sicherheitsl\u00fccke im NTLM-Authentifizierungssystem von Microsoft wurde in j\u00fcngster Zeit von Angreifern in der Praxis ausgenutzt. Die US-amerikanische IT-Sicherheitsbeh\u00f6rde CISA warnte vor dieser Bedrohung, die durch das Ausnutzen einer Schwachstelle namens NTLM Hash Disclosure Spoofing erm\u00f6glicht wird. Diese Schwachstelle, mit dem Identifikator CVE-2025-24054 und einem Sicherheitsbewertungswert von 6,5, erlaubt es nicht autorisierten Akteuren, mithilfe manipulierten Dateien in E-Mails NTLM-Hashes zu stehlen. Diese Hashes sind essenziell f\u00fcr die Authentifizierung auf Rechnern und k\u00f6nnen Angreifern den Zugang zu Systemen erm\u00f6glichen. Microsoft hatte diese Schwachstelle im M\u00e4rz bereits durch Sicherheitsupdates behoben, jedoch scheinen die Angriffe weiterhin aktiv zu sein.<\/p>\n<p>Forscher von Checkpoint beobachteten ab dem 19. M\u00e4rz Attacken, die sich prim\u00e4r auf Regierungs- und Privatinstitutionen in Polen und Rum\u00e4nien konzentrierten. Die T\u00e4ter nutzten E-Mails mit Links zu Dropbox-Dateien, die wiederum manipulierte Dateien enthielten, welche Sicherheitsl\u00fccken, einschlie\u00dflich der NTLM Hash Disclosure Spoofing, ausnutzten. Diese Dateien erm\u00f6glichten es den Angreifern, in eine sogenannte Man-in-the-Middle-Position zu gelangen, wodurch sie die Kontrolle \u00fcber verletzliche Systeme erlangten.<\/p>\n<p>Besonders beunruhigend ist, dass der Exploit in diesen Dateien bereits beim Entpacken eines .zip-Archivs aktiv wird und auch ohne umfangreiche Nutzerinteraktion funktioniert. Ein einfacher Rechtsklick, Drag &#038; Drop oder das \u00d6ffnen eines Ordners mit der infizierten Datei reichen aus, um die NTLM-Hashes an die Angreifer weiterzuleiten. Die Checkpoint-Analyse liefert zudem Indizien f\u00fcr diese Angriffe (Indicators of Compromise, IOCs), um Abwehrmechanismen zu verbessern.<\/p>\n<p>Microsoft betont in seiner Beschreibung, dass selbst geringe Nutzerinteraktion den Missbrauch der Schwachstelle erm\u00f6glicht. Daher ist es von entscheidender Bedeutung, dass Sicherheitsupdates zeitnah installiert werden, insbesondere da das Update zur Behebung dieses Lecks bereits im M\u00e4rz-Patchday ver\u00f6ffentlicht wurde und der vermutete Schweregrad des Problems als mittel eingestuft wurde. Wie immer gilt: Die z\u00fcgige Reaktion auf Sicherheitsl\u00fccken ist essenziell, um Systeme vor solchen Angriffen zu sch\u00fctzen und die Datenintegrit\u00e4t sowie die Vertraulichkeit von Systemen zu gew\u00e4hrleisten.<\/p>\n<p>Schlagw\u00f6rter: Microsoft + NTLM + CISA<br \/>(pz)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Eine Sicherheitsl\u00fccke im NTLM-Authentifizierungssystem von Microsoft wurde in j\u00fcngster Zeit von Angreifern in der Praxis ausgenutzt. Die US-amerikanische IT-Sicherheitsbeh\u00f6rde CISA warnte vor dieser Bedrohung, die durch das Ausnutzen einer Schwachstelle namens NTLM Hash Disclosure Spoofing erm\u00f6glicht wird. Diese Schwachstelle, mit dem Identifikator CVE-2025-24054 und einem Sicherheitsbewertungswert von 6,5, erlaubt es&#46;&#46;&#46;<\/p>\n","protected":false},"author":6,"featured_media":12130,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-12131","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/12131","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=12131"}],"version-history":[{"count":3,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/12131\/revisions"}],"predecessor-version":[{"id":12142,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/12131\/revisions\/12142"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/12130"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=12131"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=12131"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=12131"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}