Descoberta e panorama
Pesquisas e coletâneas de incidentes recentes mostram que falhas no protocolo NTLM (New Technology LAN Manager) vêm sendo exploradas ativamente em 2024 e 2025. A matéria reúne vulnerabilidades citadas em reportagens técnicas, entre elas CVE-2024-43451, CVE-2025-24054, CVE-2025-24071 e CVE-2025-33073, todas classificadas como de severidade alta nas fontes levantadas.
Abordagem técnica / Vetores de exploração
As técnicas documentadas envolvem basicamente três categorias:
- Exfiltração de hashes — CVE-2024-43451 permite vazamento de hashes NTLMv2 por arquivos .url que, ao serem manipulados (clicar, clicar com o botão direito ou mover), conectam automaticamente a servidores controlados por atacantes (WebDAV), forçando o envio de credenciais.
- Arquivos autorun e compressos — CVE-2025-24054 e CVE-2025-24071 exploram .library-ms embutidos em ZIPs para provocar autenticação automática a servidores maliciosos, técnica observada em campanhas de distribuição de trojans como AveMaria/Warzone.
- Reflexão e escalada — CVE-2025-33073 descreve um ataque de reflexão que manipula registros DNS para fazer o Windows tratar requisições externas como locais, resultando em escalada até nível SYSTEM.
Impacto e alcance
As campanhas documentadas têm alcance geográfico variado: grupos de APT e atores criminosos usaram as falhas contra alvos na Colômbia, Rússia, Bielorrússia e, segundo relatos, o setor financeiro do Uzbequistão apresentou atividade suspeita relacionada a CVE-2025-33073. As operações citadas incluíram distribuição de Remcos RAT e trojans bancários.
Mitigações e recomendações
As fontes destacam que, embora a Microsoft tenha anunciado planos para aposentar NTLM (com marcos citados como Windows 11 24H2 e Windows Server 2025), o protocolo permanece em muitas infraestruturas por questões de compatibilidade. Medidas práticas recomendadas apontadas pelas reportagens incluem:
- Priorizar migração para Kerberos onde possível;
- Aplicar os patches divulgados para os CVEs citados;
- Segmentação de redes e controles que limitem a capacidade de sistemas autenticarem-se a serviços externos não autorizados;
- Monitoramento específico de padrões anômalos de autenticação (coercion, relays, conexões WebDAV/SMB que envolvam hosts externos) e alertas para uso inesperado de arquivos .url ou .library-ms em fluxos de trabalho automatizados.
Limites das informações
As matérias não trazem números consolidados de vítimas nem estimativas globais de comprometimento; as ocorrências são relatadas por campanha/país. Em alguns casos a atribuição aos grupos (BlindEagle, Head Mare, etc.) é mencionada pelas equipes que investigaram os incidentes, mas as fontes não detalham timelines completas de cada exploração.
Repercussão e próximos passos
O cenário reforça que dependências históricas em NTLM continuam a oferecer um vetor persistente para atores com recursos moderados. Para equipes de defesa, a recomendação central é combinar correção de vulnerabilidades com controles de arquitetura (segmentação, hardening de endpoints e monitoramento focado em autenticação) enquanto se planeja a migração de serviços legados para métodos de autenticação modernos.