bencede
New member
Microsoft'un NTLM kimlik doğrulamasında zayıf bir nokta doğada yanlış kullanılır. Manipüle edilmiş dosyaları e-postalara göndererek, kötü aktörler bilgisayarlara erişebileceğiniz NTLM-HASH'ı aktarır. Amerika Birleşik Devletleri Güvenlik Otoritesi CISA şimdi bunu uyarıyor.
Microsoft, Mart ayında eklenen güvenlik boşluğunu Windows güncellemeleriyle kapattı. “NTLM karmasının yayılmasının sahtekarlığı” zayıf bir noktadır. “Bir dosya adı veya Windows NTLM rotası üzerindeki harici kontrol, yetkisiz saldırganların ağdaki sahtekarlığı gerçekleştirmesine izin verir,” diyor CVE-2025-24054, CVSS 6.5Risk “orta“). Şirket, istismarın pek olası olmadığını ekledi (” daha az olası sömürü “).
Araştırmacılar saldırıları gözlemliyor
Checkpoint'ten gelen güvenlik araştırmacıları, 19 Mart'tan itibaren bu güvenlik boşluğuna yönelik saldırılar gözlemlediler. Bu kötü amaçlı yazılım kampanyasının amacı Polonya ve Romanya'daki hükümet ve özel kurumlardı. Saldırganlar, Dropbox'ta bağlantılar içeren kurbanlara gönderdi ve yorumladılar. Oradaki arşivler, NTLMV2 SSP-Hash'leri (NTLM Güvenlik Destek Sağlayıcısı) almak için CVE 2025-24054 dahil olmak üzere farklı güvenlik boşluklarının kötüye kullanıldığı dosyalar içeriyordu.
Röle NTLM tarafından yapılan bu tür saldırılar, NTLM kimlik doğrulamasının saldırıya uğradığı ortadaki adam saldırıları (MIT ile) kategorisine girer. Araştırmacılar, şifreyi kırmak yerine, saldırganlar karma başlar ve kendilerini kullanıcı olarak kimlik doğrulaması için başka bir hizmete iletirler.
Maligno manipüle edilmiş dosyalarla, bu nedenle küresel olarak gözlemlenen saldırılar, NTLM'nin savunmasız sistemlerden ödün vermelerine izin veren ortamda insanın pozisyonuna yol açan yazarlara yönlendirdi. Dosyalardaki istismar .zip arşivini açıklarken etkin hale gelir, sonraki saldırılar daha sonra kaldırılmamış dosyalarla gerçekleştirildi. Microsoft'un açıklamasına göre, kullanıcının daha az etkileşimi de boşluğu kötüye kullanmak için yeterlidir. Sağ düğme ile tıklayın, dosyaların sürüklenmesi veya hazırlanan dosyayla bir klasör açmanız, NTLM-Hash Rimover'ı kaldırmanızı sağlar. Sonunda, kontrol noktası analizi hala saldırı testleri içerir (uzlaşma göstergeleri, yani).
Microsoft, Mart ayında Patchday için güvenlik kaybının doldurulmasına yönelik güncellemeyi zaten yayınladı. BT yöneticileri, kapalı boşlukların şüpheli şiddeti sadece “orta” olsa bile, güvenlik güncellemelerinin hızlı bir şekilde yüklendiğini garanti etmelidir.
(DMK)
Microsoft, Mart ayında eklenen güvenlik boşluğunu Windows güncellemeleriyle kapattı. “NTLM karmasının yayılmasının sahtekarlığı” zayıf bir noktadır. “Bir dosya adı veya Windows NTLM rotası üzerindeki harici kontrol, yetkisiz saldırganların ağdaki sahtekarlığı gerçekleştirmesine izin verir,” diyor CVE-2025-24054, CVSS 6.5Risk “orta“). Şirket, istismarın pek olası olmadığını ekledi (” daha az olası sömürü “).
Araştırmacılar saldırıları gözlemliyor
Checkpoint'ten gelen güvenlik araştırmacıları, 19 Mart'tan itibaren bu güvenlik boşluğuna yönelik saldırılar gözlemlediler. Bu kötü amaçlı yazılım kampanyasının amacı Polonya ve Romanya'daki hükümet ve özel kurumlardı. Saldırganlar, Dropbox'ta bağlantılar içeren kurbanlara gönderdi ve yorumladılar. Oradaki arşivler, NTLMV2 SSP-Hash'leri (NTLM Güvenlik Destek Sağlayıcısı) almak için CVE 2025-24054 dahil olmak üzere farklı güvenlik boşluklarının kötüye kullanıldığı dosyalar içeriyordu.
Röle NTLM tarafından yapılan bu tür saldırılar, NTLM kimlik doğrulamasının saldırıya uğradığı ortadaki adam saldırıları (MIT ile) kategorisine girer. Araştırmacılar, şifreyi kırmak yerine, saldırganlar karma başlar ve kendilerini kullanıcı olarak kimlik doğrulaması için başka bir hizmete iletirler.
Maligno manipüle edilmiş dosyalarla, bu nedenle küresel olarak gözlemlenen saldırılar, NTLM'nin savunmasız sistemlerden ödün vermelerine izin veren ortamda insanın pozisyonuna yol açan yazarlara yönlendirdi. Dosyalardaki istismar .zip arşivini açıklarken etkin hale gelir, sonraki saldırılar daha sonra kaldırılmamış dosyalarla gerçekleştirildi. Microsoft'un açıklamasına göre, kullanıcının daha az etkileşimi de boşluğu kötüye kullanmak için yeterlidir. Sağ düğme ile tıklayın, dosyaların sürüklenmesi veya hazırlanan dosyayla bir klasör açmanız, NTLM-Hash Rimover'ı kaldırmanızı sağlar. Sonunda, kontrol noktası analizi hala saldırı testleri içerir (uzlaşma göstergeleri, yani).
Microsoft, Mart ayında Patchday için güvenlik kaybının doldurulmasına yönelik güncellemeyi zaten yayınladı. BT yöneticileri, kapalı boşlukların şüpheli şiddeti sadece “orta” olsa bile, güvenlik güncellemelerinin hızlı bir şekilde yüklendiğini garanti etmelidir.
(DMK)