CVE-2025-24054：NTLMハッシュ漏洩の脆弱性が悪用される

CVE-2025-24054：NTLMハッシュ漏洩の脆弱性が悪用される

Securityonline[.]info – April 16, 2025

公開直後に悪用が確認された脆弱性（CVE-2025-24054）について、Check Point Researchが警告を発している。

この脆弱性は細工を施した.library-msファイルを通じてNTLMv2-SSPハッシュの漏洩を可能にするもので、サポートされているすべてのバージョンのWindowsに影響を与えるという。マイクロソフトは2025年3月11日にパッチを公開していたが、それから2週間も経たないうちに攻撃で悪用されたようだ。

このエクスプロイトキャンペーンは「NTLM Exploits Bomb（NTLMエクスプロイト爆弾）」と呼ばれ、先月20〜21日頃に初めて検出。マルスパム経由でDropboxにホストされたアーカイブを被害者が受け取って解凍すると、ロシアやブルガリア、オランダ、オーストラリア、トルコに置かれたSMBサーバーへのNTLMハッシュ漏洩が始まる。標的はポーランドとルーマニアの政府機関および民間組織で、有害な.zipファイルには主に以下が含まれていたとされる。

• xd.library-ms – CVE-2025-24054を悪用
• xd.url – CVE-2024-43451を再利用。ロシアのAPTグループUAC-0194と過去に関連
• xd.websiteとxd.lnk – xd.library-msと同様にSMB認証リクエストをトリガーする機能を持つ

ユーザーがファイルを開く、あるいは実行する必要がある従来の攻撃ベクターとは違い、CVE-2025-24054は右クリックやドラッグ＆ドロップ、または有害ファイルを含むフォルダへの移動といった「パッシブな操作」で悪用可能と説明されている。しかし、Check PointはZIPアーカイブ外で.library-msファイルを配布するキャンペーンも3月25日までに特定しており、このケースではファイルブラウザでのホバーやシングルクリックといった最小限の操作でファイルがトリガーされるようになっているため、攻撃手口が進化していると指摘した。

また、キャプチャされたハッシュからAPT28（Fancy Bear）の関与が疑われること（ただし未確認）や、学術機関に関連付けられる複数のメールアドレスが配布に利用されていたことも判明している。