آسیبپذیری با شناسه CVE-2025-24054 (امتیاز 6.5) به افشای هشهای NTLM از طریق جعل هویت مرتبط بوده و از طریق فایل library-ms. که به طور مخرب طراحی شده، قابل اکسپلویت است.
از 19 مارس 2025، اکسپلویت فعال از آسیبپذیری مشاهده شده است که به نفوذگران این امکان را میدهد تا هشهای NTLM یا گذرواژههای کاربران را افشا و سیستمها را آلوده کنند. هرچند شرکت مایکروسافت در 11 مارس 2025 وصله امنیتی برای آسیبپذیری منتشر کرد، اما عوامل تهدید بیش از یک هفته فرصت داشتند تا اکسپلویتهای لازم را توسعه دهند و به کار گیرند. نفوذگران با ارسال ایمیلهای اسپم به سرویس Dropbox، آرشیوی را توزیع کردند که از چندین آسیبپذیری شناخته شده از جمله CVE-2025-24054 را اکسپلویت میکرد تا هشهای NTLMv2-SSP را جمعآوری کند. مستندات وصله امنیتی مایکروسافت نشان میدهد که آسیبپذیری حتی با کمترین تعامل کاربر نظیر کلیک راست، drag-drop یا صرفاً مرور پوشه حاوی فایل مخرب قابل فعالسازی است. اکسپلویت به نظر میرسد نوعی تغییر یافته از آسیبپذیری پیشتر وصله شده با شناسه CVE-2024-43451 باشد، چراکه هر دو آسیبپذیری شباهتهای زیادی دارند.
https://research.checkpoint.com/2025/cve-2025-24054-ntlm-exploit-in-the-wild/
