Windows NTLM-Hash-Leak wird aktiv für Angriffe ausgenutzt
Windows-Sicherheitslücke wird aktiv von Cyberkriminellen ausgenutzt: Schon einfaches Herunterladen oder Navigieren zu präparierten .library-ms-Dateien kann reichen, um NTLM-Passwort-Hashes zu stehlen. Die US-Behörde CISA stuft die Gefahr als so ernst ein, dass sie eine Pflicht zur Behebung erlassen hat.
Die US-Cybersicherheitsbehörde CISA hat die Schwachstelle in ihren Katalog bekannter Sicherheitslücken aufgenommen und fordert alle US-Bundesbehörden auf, bis spätestens 8. Mai 2025 den dazugehörigen Patch zu installieren. Diese Maßnahmen wurden aufgrund von Berichten über die aktive Ausnutzung der Lücke in der freien Wildbahn ergriffen.
Sicherheitsforscher von Check Point berichteten, dass die Ausnutzung der Schwachstelle bereits seit dem 19. März 2025 erfolgt, nur acht Tage nach der Veröffentlichung des Microsoft-Patches. Besonders alarmierend ist die gezielte Kampagne gegen Regierungs- und private Einrichtungen in Polen und Rumänien zwischen dem 20. und 21. März.
Die Veröffentlichung im KEV-Katalog unterstreicht die Dringlichkeit der Problematik. Dieser Katalog listet Sicherheitslücken, die aktiv ausgenutzt werden und ein signifikantes Risiko darstellen, und verpflichtet US-Bundesbehörden zur zeitnahen Behebung dieser Schwachstellen. Infografik Sicherheit im Netz: Deutsche fürchten sich vor Datenmissbrauch
Check Point warnt, dass das Abfangen von NTLM-Hashes zu Authentifizierungsumgehungen und Rechteerweiterungen führen kann. Obwohl die Schwere von CVE-2025-24054 als "mittel" eingestuft wird, sind die potenziellen Auswirkungen gravierend.
Was haltet ihr von dieser Sicherheitslücke? Habt ihr die März-Updates bereits installiert oder wartet ihr noch ab? Teilt eure Erfahrungen und Meinungen zum Thema Patch-Management in den Kommentaren!
Siehe auch:
Sicherheitslücke ermöglicht Passwort-Hashes-Diebstahl
Eine kürzlich von Microsoft behobene Sicherheitslücke in Windows, bekannt als CVE-2025-24054, wird aktuell von Cyberkriminellen aktiv ausgenutzt. Diese Schwachstelle betrifft alle gängigen Windows-Versionen und ermöglicht das Stehlen von NTLM-Passwort-Hashes mit minimaler Interaktion der Benutzer.Die externe Kontrolle von Dateinamen oder -pfaden in Windows NTLM ermöglicht es einem nicht autorisierten Angreifer, Spoofing über ein Netzwerk durchzuführen.Die Ausnutzung der Sicherheitslücke erfolgt über speziell präparierte Dateien mit der Endung ".library-ms". Schon das Herunterladen, Entpacken oder bloße Navigieren in einen Ordner, der solche Dateien enthält, kann einen Angriff auslösen. Windows Explorer initiiert daraufhin automatisch eine SMB-Authentifizierungsanfrage an einen entfernten Server, wodurch die NTLM-Hashes des Nutzers offengelegt werden.
Die US-Cybersicherheitsbehörde CISA hat die Schwachstelle in ihren Katalog bekannter Sicherheitslücken aufgenommen und fordert alle US-Bundesbehörden auf, bis spätestens 8. Mai 2025 den dazugehörigen Patch zu installieren. Diese Maßnahmen wurden aufgrund von Berichten über die aktive Ausnutzung der Lücke in der freien Wildbahn ergriffen.
Sicherheitsforscher von Check Point berichteten, dass die Ausnutzung der Schwachstelle bereits seit dem 19. März 2025 erfolgt, nur acht Tage nach der Veröffentlichung des Microsoft-Patches. Besonders alarmierend ist die gezielte Kampagne gegen Regierungs- und private Einrichtungen in Polen und Rumänien zwischen dem 20. und 21. März.
Die Veröffentlichung im KEV-Katalog unterstreicht die Dringlichkeit der Problematik. Dieser Katalog listet Sicherheitslücken, die aktiv ausgenutzt werden und ein signifikantes Risiko darstellen, und verpflichtet US-Bundesbehörden zur zeitnahen Behebung dieser Schwachstellen. Infografik Sicherheit im Netz: Deutsche fürchten sich vor Datenmissbrauch
NTLM-Authentifizierung als Schwachstelle
NTLM (New Technology LAN Manager) ist ein veraltetes Microsoft-Authentifizierungsprotokoll, das Passwort-Hashes verwendet. Microsoft hat NTLM als obsolet eingestuft und empfiehlt stattdessen die Verwendung von Kerberos.Check Point warnt, dass das Abfangen von NTLM-Hashes zu Authentifizierungsumgehungen und Rechteerweiterungen führen kann. Obwohl die Schwere von CVE-2025-24054 als "mittel" eingestuft wird, sind die potenziellen Auswirkungen gravierend.
Minimale Interaktion, maximale Gefahr
Die Einfachheit der Ausnutzung ist besorgniserregend. In einer Attacke im Dezember 2024 wurde ebenso eine aktive Ausnutzung einer Schwachstelle bekannt, bei der das Herunterladen der Dateien bereits ausreichte, um NTLM-Hashes preiszugeben. Unternehmen sollten die relevanten Microsoft-Updates umgehend installieren und die NTLM-Authentifizierung deaktivieren, wenn nicht notwendig.Was haltet ihr von dieser Sicherheitslücke? Habt ihr die März-Updates bereits installiert oder wartet ihr noch ab? Teilt eure Erfahrungen und Meinungen zum Thema Patch-Management in den Kommentaren!
Zusammenfassung
- Windows-Sicherheitslücke CVE-2025-24054 wird aktiv für Angriffe genutzt
- Manipulation von .library-ms-Dateien führt zur Preisgabe von NTLM-Hashes
- CISA fordert US-Behörden zur Patch-Installation bis zum 8. Mai 2025 auf
- Gezielte Angriffe auf Einrichtungen in Polen und Rumänien im März 2025
- NTLM-Authentifizierung als veraltetes und riskantes Protokoll identifiziert
- Minimale Nutzerinteraktion reicht für erfolgreiche Angriffe aus
- Unternehmen sollen Updates installieren und NTLM wenn möglich deaktivieren
Siehe auch:
Thema:
Beliebte Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen