CVE‑2025‑24054 beschreibt eine Schwachstelle in Windows Explorer, bei der eine speziell manipulierte .library‑ms‑Datei bereits beim Entpacken oder durch minimale Nutzerinteraktion – etwa durch Rechtsklick, Drag‑and‑Drop oder einfaches Navigieren in einen Ordner – dazu führt, dass Windows automatisch eine SMB‑Authentifizierung an einen Angreifer‑Server initiiert und dabei den NTLMv2‑SSP‑Hash des Anwenders ausliefert. Obwohl Microsoft bereits am 11. März 2025 einen Patch veröffentlicht hat, nutzten Angreifer diese Lücke ab dem 19. März 2025 aktiv für Angriffe aus. Besonders auffällig war eine Malspam‑Kampagne um den 20./21. März, bei der Regierungsbehörden und private Einrichtungen in Polen und Rumänien per Dropbox‑Link zum Download einer Archivdatei verleitet wurden, die neben dem .library‑ms‑Exploit auch weitere NTLM‑Hash‑Disclosure‑Schwachstellen (etwa CVE‑2024‑43451 via .url‑Shortcut) nutzte. Die abgegriffenen NTLMv2‑SSP‑Hashes erlauben Pass‑the‑Hash‑ und Relay‑Angriffe, mit denen Angreifer sich laterale Bewegungen im Netzwerk verschaffen und Berechtigungen eskalieren können. Um das Risiko zu minimieren, sollten Organisationen den Microsoft‑Patch umgehend einspielen, unnötige NTLM‑Authentifizierung deaktivieren und SMB‑Verbindungen durch Signing und Relay‑Schutz absichern.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: