Vulnerabilidad en Windows que filtra hashes NTLM es Explotada en Ataques de Phishing a Gobiernos

Escrito por / 22 de octubre de 2025 / Noticias Hacking y Seguridad Informática / Phising

Una vulnerabilidad en Windows que expone hashes NTLM mediante archivos .library-ms está siendo activamente explotada por hackers en campañas de phishing dirigidas a entidades gubernamentales y empresas privadas.

CVE-2025-24054: De baja prioridad a alta amenaza ⚠️

Este fallo, identificado como CVE-2025-24054, fue corregido durante el martes de parches de marzo de 2025.
Inicialmente, Microsoft no lo marcó como explotado activamente y lo calificó como de baja probabilidad de explotación.

Sin embargo, investigadores de Check Point detectaron explotación activa del fallo días después del lanzamiento del parche, alcanzando su punto máximo entre el 20 y el 25 de marzo de 2025.

Una de las direcciones IP usadas en los ataques fue vinculada anteriormente al grupo ruso patrocinado por el estado APT28 (Fancy Bear), aunque la evidencia no es concluyente para una atribución definitiva.

¿Qué son los hashes NTLM y por qué importan?

NTLM (New Technology LAN Manager) es un protocolo de autenticación de Microsoft que usa hashes en lugar de contraseñas en texto plano para verificar usuarios.

Aunque evita transmitir contraseñas directamente, NTLM es inseguro frente a ataques de repetición o fuerza bruta.
Por esto, Microsoft ha comenzado a reemplazar NTLM por Kerberos o Negotiate.

Así funciona el ataque

Los atacantes enviaron correos de phishing a entidades en Polonia y Rumania con enlaces de Dropbox. El enlace descargaba un archivo ZIP que contenía un archivo .library-ms.

Este archivo legítimo abre una “biblioteca” de Windows, pero en este caso, redirigía a un servidor SMB remoto controlado por el atacante.

Cuando el archivo se extrae y se visualiza, Windows se conecta automáticamente al servidor remoto, exponiendo los hashes NTLM del usuario.

En campañas posteriores, ni siquiera fue necesario un archivo ZIP. Descargar directamente el archivo .library-ms era suficiente para activar la vulnerabilidad.

“Según Microsoft, basta con seleccionar (clic), inspeccionar (clic derecho) o cualquier acción distinta de ejecutar el archivo para activar el exploit.” – Check Point

Archivos adicionales y redundancia del ataque ️

Además del archivo .library-ms, el archivo malicioso también incluía:

  • xd.url
  • xd.website
  • xd.link

Estos archivos explotan otras vulnerabilidades antiguas de fuga NTLM, sirviendo como respaldo si el método .library-ms falla.

Direcciones IP maliciosas utilizadas

Los servidores SMB de los atacantes estaban en:

  • 159.196.128[.]120
  • 194.127.179[.]157

Capturar hashes NTLM permite eludir autenticación, escalar privilegios y tomar control sobre sistemas comprometidos.

Aunque CVE-2025-24054 fue clasificado como riesgo medio, su baja interacción requerida y alto impacto potencial lo convierten en una amenaza crítica.

¿Qué debes hacer si usas Windows? ️

  • Instala los parches de marzo de 2025 inmediatamente.
  • Desactiva NTLM si tu entorno no lo necesita.
  • Evalúa el uso de autenticación más segura como Kerberos.

🔥 LO MÁS VISTO DE ESTA CATEGORÍA