据报道,Windows的一个NTLM哈希泄露漏洞现已被黑客利用,针对政府机构和私人公司的钓鱼攻击正在进行。该漏洞编号为CVE-2025-24054,在微软2025年3月的补丁星期二中被修复。最初,该漏洞被评估为“不太可能”被积极利用。但Check Point研究人员报告称,仅在补丁发布几天后,他们就观察到针对CVE-2025-24054的积极利用活动,从2025年3月20日至25日达到高潮。
在这些攻击中,钓鱼邮件被发送到波兰和罗马尼亚的实体,邮件中包含一个Dropbox链接,该链接指向一个包含.library-ms文件的ZIP压缩包。当Windows连接到远程SMB服务器时,它将尝试通过NTLM进行身份验证,从而使攻击者能够捕获用户的NTLM哈希。Check Point后来发现,钓鱼邮件中包含.library-ms附件,即使没有压缩包也能触发NTLM认证,证明利用漏洞不需要压缩包。