Zero-Click NTLM Lücke umgeht Microsoft-Patch (CVE-2025-50154)

Forscher von Cymulate haben eine Null-Klick-Schwachstelle (CVE-2025-50154) veröffentlicht, die Microsofts Frühjahrsfix für CVE-2025-24054 umgeht und es ermöglicht, NTLMv2-SSP-Hashes ohne jegliche Nutzerinteraktion zu exfiltrieren.

Die Technik missbraucht Windows-Explorer-Verhalten beim Rendern von Icons in Verknüpfungen: Explorer lädt stillschweigend eine entfernte PE-Datei, liest deren .rsrc-Icon und triggert so eine automatische NTLM-Authentifizierung gegenüber einem angreifergesteuerten SMB-Server — Hashs werden damit offline geknackt oder für Relay-Angriffe genutzt. Ein Proof of Conecpt findet sich auf GitHub.

Cymulate zeigt außerdem, dass derselbe Vorgang die entfernte Binärdatei vollständig und ohne Ausführung auf das Zielsystem herunterlädt, wodurch ein unbemerkter Staging-Pfad für Malware entsteht.

Empfehlungen für Administratoren: zeitnah das von Microsoft erwartete Folge-Update einspielen, NTLM wo möglich deaktivieren oder einschränken, ausgehenden SMB-/UNC-Zugriff blockieren, Richtlinien zum Rendering von entfernten Icons prüfen und ungewöhnliche SMB-Verbindungsversuche überwachen.

Related Posts

Kritische Schwachstellen in Veeam Backup & Replication behoben

Veeam hat am 14. Oktober 2025 das Patch-Update Veeam Backup & Replication 12.3.2.4165 veröffentlicht, das mehrere kritische Sicherheitslücken schließt.

Read More

Kritisches Sicherheitsupdate für ArcGIS Server: SQL-Injection-Lücke geschlossen

Esri hat am 7. Oktober 2025 ein wichtiges Sicherheitsupdate für ArcGIS Server veröffentlicht, das eine kritische SQL-Injection-Schwachstelle (CVE-2025-57870) in den Versionen 11.3, 11.4 und 11.5 auf Windows, Linux und Kubernetes behebt. Die Lücke wurde mit einem CVSS-Score von 10 bewertet – Administrator:innen sollten den Patch daher umgehend installieren.

Read More

Riesiges Datenleck bei Hotelsoftware: Millionen Gästedaten offen im Netz

Ein massives Sicherheitsleck bei der Hotelverwaltungssoftware des Anbieters Gubse AG hat Millionen Gästedaten offengelegt – darunter auch sensible Informationen von Bundestagsabgeordneten. Betroffen sind unter anderem Hotels der Kette Motel One sowie mehrere DJH-Jugendherbergen.

Read More