Forscher von Cymulate haben eine Null-Klick-Schwachstelle (CVE-2025-50154) veröffentlicht, die Microsofts Frühjahrsfix für CVE-2025-24054 umgeht und es ermöglicht, NTLMv2-SSP-Hashes ohne jegliche Nutzerinteraktion zu exfiltrieren.
Die Technik missbraucht Windows-Explorer-Verhalten beim Rendern von Icons in Verknüpfungen: Explorer lädt stillschweigend eine entfernte PE-Datei, liest deren .rsrc-Icon und triggert so eine automatische NTLM-Authentifizierung gegenüber einem angreifergesteuerten SMB-Server — Hashs werden damit offline geknackt oder für Relay-Angriffe genutzt. Ein Proof of Conecpt findet sich auf GitHub.
Cymulate zeigt außerdem, dass derselbe Vorgang die entfernte Binärdatei vollständig und ohne Ausführung auf das Zielsystem herunterlädt, wodurch ein unbemerkter Staging-Pfad für Malware entsteht.
Empfehlungen für Administratoren: zeitnah das von Microsoft erwartete Folge-Update einspielen, NTLM wo möglich deaktivieren oder einschränken, ausgehenden SMB-/UNC-Zugriff blockieren, Richtlinien zum Rendering von entfernten Icons prüfen und ungewöhnliche SMB-Verbindungsversuche überwachen.
