آسیبپذیری با شناسه CVE-2025-24054 (امتیاز 6.5) به افشای هشهای NTLM از طریق جعل هویت مرتبط بوده و از طریق فایل library-ms. که به طور مخرب طراحی شده، قابل اکسپلویت است.
از 19 مارس 2025، اکسپلویت فعال از آسیبپذیری مشاهده شده است که به نفوذگران این امکان را میدهد تا هشهای NTLM یا گذرواژههای کاربران را افشا و سیستمها را آلوده کنند. هرچند شرکت مایکروسافت در 11 مارس 2025 وصله امنیتی برای آسیبپذیری منتشر کرد، اما عوامل تهدید بیش از یک هفته فرصت داشتند تا اکسپلویتهای لازم را توسعه دهند و به کار گیرند. نفوذگران با ارسال ایمیلهای اسپم به سرویس Dropbox، آرشیوی را توزیع کردهاند که جهت جمعآوری هشهای NTLMv2-SSP، چندین آسیبپذیری شناخته شده از جمله CVE-2025-24054 را اکسپلویت میکرد. مستندات وصله امنیتی مایکروسافت نشان میدهد که آسیبپذیری حتی با کمترین تعامل کاربر نظیر کلیک راست، drag-drop یا صرفاً مرور پوشه حاوی فایل مخرب قابل فعالسازی است. به نظر میرسد اکسپلویت، نوع تغییر یافتهای از آسیبپذیری پیشتر وصله شده با شناسه CVE-2024-43451 باشد، چرا که هر دو آسیبپذیری دارای شباهتهای بسیاری هستند.
https://research.checkpoint.com/2025/cve-2025-24054-ntlm-exploit-in-the-wild/
