Sigurnosni stručnjaci upozoravaju na ozbiljnu ranjivost NTLM protokola u sustavu Windows, koja je nedavno otkrivena i označena kao CVE-2025-24054. Iako je Microsoft zakrpao ovaj propust u martu 2025. godine, napadi hakera počeli su ubrzo nakon objave zakrpe, ugrožavajući vladine i privatne institucije širom svijeta.
Kako ranjivost funkcionira?
NTLM ranjivost omogućuje hakerima da otkriju korisnički hash lozinke, čime se otvara mogućnost za “spoofing” napade preko mreže. Alarmantno je što za eksploataciju ove ranjivosti korisnik treba samo odabrati ili desnim klikom otvoriti zlonamjerni fajl. U kampanjama koje su zabilježene, korisnici su bili navučeni na phishing linkove koji sadrže ZIP arhivu sa zlonamjernim .library-ms fajlom. Otvaranjem arhive aktivira se SMB autentifikacija prema udaljenom serveru, što dovodi do curenja NTLM hasha bez potrebe za dodatnom interakcijom korisnika.
Posljedice napada
Nakon otkrivanja NTLM hasha, hakeri mogu koristiti brute-force metode za razbijanje lozinke ili provesti relay napade. Ovi napadi omogućuju napadačima kretanje unutar mreže, eskalaciju privilegija i eventualnu kompromitaciju cijelog domena. Takvi scenariji mogu imati dalekosežne posljedice, uključujući krađu osjetljivih podataka i ometanje operacija ciljanih organizacija.
Stručnjaci iz Check Pointa otkrili su da su napadi počeli između 19. i 25. marta 2025. godine, a najviše su bile pogođene institucije u Poljskoj i Rumuniji. Napadači su koristili zlonamjerne fajlove povezane sa serverima u Australiji, Bugarskoj, Nizozemskoj, Rusiji i Turskoj, uključujući servere koje kontrolira ruska APT grupa Fancy Bear.
Preporuke za zaštitu
CISA (američka agencija za cyber sigurnost) dodala je CVE-2025-24054 na listu poznatih ranjivosti koje se aktivno eksploatiraju. Savezne agencije u SAD-u dobile su rok do 8. maja za zakrpavanje ovog nedostatka, dok se svim organizacijama preporučuje da prioritetno adresiraju ranjivost. Osim primjene zakrpa, stručnjaci savjetuju edukaciju zaposlenika o sigurnosnim praksama, uključujući prepoznavanje phishing napada i izbjegavanje interakcije s nepoznatim datotekama.
Širi utjecaj na industriju
Ranjivost poput ove ističe važnost proaktivnog pristupa cyber sigurnosti. Osim tehničkih rješenja, organizacije moraju razvijati strategije koje uključuju kontinuirano praćenje i procjenu sigurnosnih prijetnji. Industrija cyber sigurnosti sve više naglašava potrebu za suradnjom između organizacija i regulatornih tijela kako bi se brzo reagiralo na nove vrste napada.