{"id":1675773,"date":"2025-04-18T05:18:48","date_gmt":"2025-04-18T05:18:48","guid":{"rendered":"https:\/\/teknomers.com\/es\/cve-2025-24054-bajo-attack-active-steals-ntlm-credenciales-en-el-archivo-descargar\/"},"modified":"2025-04-18T05:18:52","modified_gmt":"2025-04-18T05:18:52","slug":"cve-2025-24054-bajo-attack-active-steals-ntlm-credenciales-en-el-archivo-descargar","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/cve-2025-24054-bajo-attack-active-steals-ntlm-credenciales-en-el-archivo-descargar\/","title":{"rendered":"CVE-2025-24054 bajo Attack Active: Steals NTLM Credenciales en el archivo Descargar"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>18 de abril de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Seguridad \/ vulnerabilidad de Windows<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) el jueves agregado<\/a> una falla de seguridad de severidad media que impacta a Microsoft Windows a sus vulnerabilidades explotadas conocidas (Kev<\/a>) Cat\u00e1logo, luego de informes de explotaci\u00f3n activa en la naturaleza.<\/p>\n

La vulnerabilidad, asign\u00f3 el identificador CVE CVE-2025-24054<\/a><\/strong> (Puntuaci\u00f3n CVSS: 6.5), es un error de falsificaci\u00f3n de divulgaci\u00f3n de hash de Windows New Technology Manager (NTLM) que Microsoft parcheado el mes pasado como parte de sus actualizaciones del martes de parche.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

NTLM es un protocolo de autenticaci\u00f3n heredado que Microsoft se desactiv\u00f3 oficialmente el a\u00f1o pasado a favor de Kerberos. En los \u00faltimos a\u00f1os, los actores de amenaza han encontrado varios m\u00e9todos para explotar la tecnolog\u00eda, como los ataques de pases y relevos, para extraer hashes NTLM para ataques de seguimiento.<\/p>\n

“Microsoft Windows NTLM contiene un control externo del nombre del archivo o la vulnerabilidad de la ruta que permite que un atacante no autorizado realice una suplantaci\u00f3n de suplicaci\u00f3n en una red”, dijo CISA.<\/p>\n

En un bolet\u00edn publicado en marzo, Microsoft dijo que la vulnerabilidad podr\u00eda activarse por una interacci\u00f3n m\u00ednima con una archivo .library-ms<\/a>como “Seleccionar (hacer clic \u00fanico), inspeccionar (hacer clic derecho) o realizar una acci\u00f3n que no sea abrir o ejecutar el archivo”.<\/p>\n

El gigante tecnol\u00f3gico tambi\u00e9n acredit\u00f3 a Rintaro Koike con NTT Security Holdings, 0x6RSS y J00Sean por descubrir e informar la falla.<\/p>\n

Mientras que Microsoft le ha dado a CVE-2025-24054 una evaluaci\u00f3n de explotabilidad de la “explotaci\u00f3n menos probable”, la falla de seguridad ha sido de explotaci\u00f3n activa desde el 19 de marzo, por punto de verificaci\u00f3n, lo que permite que los actores malos filtren los hashes NTLM o las contrase\u00f1as de los usuarios e infiltrados.<\/p>\n

“Alrededor del 20 al 21 de marzo de 2025, una campa\u00f1a dirigida a instituciones gubernamentales e privadas en Polonia y Rumania”, la compa\u00f1\u00eda de seguridad cibern\u00e9tica dicho<\/a>. “Los atacantes usaron Malspam para distribuir un enlace de Dropbox que contiene un archivo que explot\u00f3 m\u00faltiples vulnerabilidades conocidas, incluida CVE-2025-24054, para cosechar hashes NTLMV2-SSP”.<\/p>\n

Se eval\u00faa que la falla es una variante de CVE-2024-43451 (puntaje CVSS: 6.5), que fue parcheado por Microsoft en noviembre de 2024 y tambi\u00e9n ha sido armado en la naturaleza en ataques dirigidos a Ucrania y Colombia por actores de amenaza como UAC-0194 y Blind Eagle.<\/p>\n

Seg\u00fan Check Point, el archivo se distribuye mediante archivos zip, lo que hace que Windows Explorer inicie una solicitud de autenticaci\u00f3n SMB a un servidor remoto y filtre el hash NTLM del usuario sin ninguna interacci\u00f3n del usuario simplemente al descargar y extraer los contenidos del archivo.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Dicho esto, se ha encontrado otra campa\u00f1a de phishing observada tan recientemente como el 25 de marzo de 2025, se ha encontrado que entrega un archivo llamado “info.doc.library-ms” sin ninguna compresi\u00f3n. Desde la primera ola de ataques, se han observado no menos de 10 campa\u00f1as con el objetivo final de recuperar hashes NTLM de las v\u00edctimas objetivo.<\/p>\n

“Estos ataques aprovecharon los archivos Maliciosos .library-MS para recopilar hashes NTLMV2 y aumentar el riesgo de movimiento lateral y la escalada de privilegios dentro de las redes comprometidas”, dijo Check Point.<\/p>\n

“Esta r\u00e1pida explotaci\u00f3n destaca la necesidad cr\u00edtica de que las organizaciones apliquen parches de inmediato y garanticen que las vulnerabilidades de NTLM se aborden en sus entornos. La interacci\u00f3n m\u00ednima del usuario requerida para que la exploit se desencadene y la facilidad con la que los atacantes pueden obtener acceso a los hashes NTLM lo convierten en una amenaza significativa, especialmente cuando tales hashes pueden usarse en los ataques de pases de pasos”.<\/p>\n

Se requiere que las agencias de la rama ejecutiva civil federal (FCEB) apliquen las soluciones necesarias para la deficiencia antes del 8 de mayo de 2025, para asegurar sus redes a la luz de la explotaci\u00f3n activa.<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n