Kritische Sicherheitslücke in freier Wildbahn ausgenutzt

Eine alarmierende Schwachstelle in Microsofts NTLM-Authentifizierung wird derzeit von Cyberkriminellen massiv ausgenutzt. Mit manipulierten Dateien, die in E-Mails versteckt sind, können Angreifer NTLM-Hashes abfangen und sich unautorisierten Zugang zu Rechnern verschaffen. Die US-amerikanische IT-Sicherheitsbehörde CISA schlägt bereits Alarm.

Hintergrund zur Schwachstelle

Die gefährliche Sicherheitslücke, bekannt als "NTLM Hash Disclosure Spoofing" (CVE-2025-24054) und mit einem Risiko von CVSS 6.5 eingestuft, wurde von Microsoft im März mit einem Sicherheitsupdate geschlossen. Microsoft warnte, dass Angreifer durch die Manipulation von Dateinamen oder Pfaden in Windows NTLM Spoofing-Attacken ausführen können. Trotz der Einschätzung, dass ein Missbrauch als "weniger wahrscheinlich" gilt, halten IT-Experten die Situation für ernst.

Überblick über die Angriffe

Forscher von Checkpoint haben seit dem 19. März eine Welle von Angriffen verzeichnet, die gezielt Regierungs- und private Einrichtungen in Polen und Rumänien ins Visier nehmen. Kriminelle versenden E-Mails mit Links zu Dropbox, wo schädliche Dateien verborgen sind, die nicht nur die NTLM-Schwachstelle, sondern auch mehrere andere Sicherheitslücken ausnutzen.

Gefährliche Man-in-the-Middle-Angriffe

Diese sogenannten NTLM-Relay-Angriffe fallen unter die Man-in-the-Middle (MitM)-Attacken. Anstatt Passwörter zu knacken, fangen die Angreifer Hashes ab und leiten sie an andere Dienste weiter, um sich als legitime Benutzer auszugeben. Diese Angriffe sind besonders heimtückisch, da sie oft nur minimale Interaktion des Nutzers erfordern.

Wie die Angriffe funktionieren

Die Angreifer setzen stark manipulierte .library-ms-Dateien ein, um die NTLM-Hashes zu stehlen. Die Exploits werden aktiviert, sobald das (zip-)Archiv entpackt wird, und weitere Attacken erfolgen mit den entpackten Dateien. Ein einfacher Rechtsklick oder das Öffnen eines Ordners reicht bereits aus, um die NTLM-Hashes zu entwenden. Die aktuelle Analyse von Checkpoint enthält zudem Hinweise auf Indikatoren für Kompromittierungen (IOCs).

Wichtige Sicherheitsupdates nicht vernachlässigen

Microsoft hat das Update zur Schließung dieser kritischen Sicherheitslücke bereits am März-Patchday veröffentlicht. IT-Verantwortliche sind dringend aufgefordert, Sicherheitsupdates umgehend zu installieren, auch wenn die Schwachstellen als "mittel" eingestuft werden.