Nova falha no Windows permite vazamento de hashes NTLM e já é explorada na Europa Oriental

Uma vulnerabilidade crítica no Windows está sendo explorada por cibercriminosos poucos dias após a Microsoft ter lançado uma correção. A falha, catalogada como CVE-2025-24054, permite o vazamento de hashes de autenticação NTLM com interação mínima do usuário e tem sido usada em ataques direcionados à Polônia e à Romênia.

A exploração ocorre por meio de um arquivo malicioso do tipo .library-ms. Basta que o usuário apenas navegue até a pasta onde o arquivo está localizado — sem sequer abri-lo — para que o sistema inicie uma solicitação SMB que expõe o hash NTLMv2-SSP a um servidor remoto controlado pelo invasor.

A Microsoft lançou o patch de correção em 11 de março de 2025, mas campanhas maliciosas já estavam ativas a partir de 19 de março, segundo analistas da Check Point Research.

Esses ataques foram disseminados via e-mails de phishing com links do Dropbox, levando ao download de arquivos .library-ms. Ao extrair o conteúdo, o simples ato de visualizá-lo no explorador de arquivos do Windows já era suficiente para acionar o vazamento dos dados.

“A vulnerabilidade pode ser explorada com ações mínimas como clicar com o botão direito ou arrastar o arquivo”, explicou a Check Point. A empresa ainda aponta que essa falha compartilha características com uma vulnerabilidade anterior, a CVE-2024-43451, corrigida em 2024.

Especialistas alertam que a rapidez com que os atacantes exploraram a nova falha mostra a necessidade de aplicar atualizações de segurança de forma imediata, especialmente em ambientes corporativos.

Fonte: https://www.infosecurity-magazine.com/news/ntlm-hash-exploit-targets-poland/