In freier Wildbahn wird eine Schwachstelle in Microsofts NTLM-Authentifizierung ausgenutzt. Die US-amerikanische IT-Sicherheitsbehörde CISA warnt davor. Kriminelle leiten durch das Senden manipulierter Dateien in E-Mails NTLM-Hashes um, mit denen sie dann auf Rechner zugreifen können.

Microsoft hat die ausgenutzte Schwachstelle bereits im März mit Windows-Updates geschlossen. Bei der Lücke handelt es sich um eine "NTLM Hash Disclosure Spoofing"-Schwachstelle. Microsoft beschreibt die Lücke wie folgt: "Externe Kontrolle über einen Dateinamen oder Pfad in Windows NTLM ermöglicht nicht autorisierten Angreifern, Spoofing über das Netz auszuführen" (CVE-2025-24054, CVSS 6.5, Risiko "mittel").

Ab dem 19. März haben IT-Sicherheitsforscher von Checkpoint Attacken auf diese Sicherheitslücke beobachtet. Opfer haben von den Angreifern E-Mails erhalten, die Links auf Dropbox enthielten. Um NTLMv2-SSP-Hashes abgzugreifen (NTLM Security Support Provider), enthielten die Archive von dort Dateien, die mehrere Sicherheitslücken einschließlich CVE-2025-24054 missbrauchen.

Selbst, wenn der vermutete Schweregrad der damit geschlossenen Lücken lediglich "mittel" beträgt, sollten IT-Verantwortliche sicherstellen, das die Sicherheitsupdates installiert sind.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE