Relatório técnico do Securelist (Kaspersky) detalha a persistência do NTLM em 2025, listando vulnerabilidades ativas, campanhas que as exploram e recomendações para mitigação e migração.
Panorama e descoberta
O protocolo NTLM, legacy da Microsoft, continua presente em ambientes Windows e, segundo o texto, vem sendo explorado por diversos atores por meio de vazamento de hashes, coercion-based attacks, relay e reflection. Apesar de anúncios de depreciação por parte da Microsoft (com remoção/alteração prevista em Windows 11 24H2 e Windows Server 2025), o protocolo permanece amplamente utilizado por compatibilidade e aplicações legadas.
CVE e vetores recentes
Entre as falhas destacadas estão CVE-2024-43451 (vazamento de hashes NTLMv2 ligado a MSHTML e .url files), CVE-2025-24054/CVE-2025-24071 (vazamento via .library-ms e arquivos em ZIP/RAR), e CVE-2025-33073 (vulnerabilidade de reflexão NTLM no cliente SMB que pode levar a escalada para SYSTEM).
Os vetores comuns incluem arquivos .url e .library-ms embutidos em ZIPs ou anexos de phishing que, com interação mínima (preview, clique único, até movimentação ou exclusão em alguns casos), disparam autenticação NTLM contra servidores controlados por atacantes, permitindo captura de hashes e ataques Pass-the-Hash.
Campanhas observadas
O Securelist documenta campanhas reais: o grupo BlindEagle usou CVE-2024-43451 para distribuir Remcos RAT via .url files em campanhas contra alvos na Colômbia; o grupo Head Mare empregou vetores similares contra alvos na Rússia; e houve relatos de distribuição de trojans (AveMaria/Warzone) ligados a CVE-2025-24054. Foi também detectada atividade suspeita explorando CVE-2025-33073 em uma organização financeira no Uzbequistão, com tentativa de obtenção de token SYSTEM e dump de LSASS.
Impacto e alcance
As explorações permitem desde captura de hashes NTLMv2 até execução remota de código com privilégios elevados, lateral movement e exfiltração de credenciais. O relatório cita detecções concretas — por exemplo, cerca de 600 .url files suspeitos detectados até julho (relacionados a CVE-2024-43451) e mais de 60 .url files usados pelo BlindEagle nos alvos colombianos.
Recomendações concretas
- Desabilitar ou limitar uso do NTLM sempre que possível e mapear dependências legadas.
- Habilitar assinatura de mensagens em SMB/LDAP e Extended Protection for Authentication (EPA).
- Monitorar e auditar tráfego NTLM com SIEM e alertas para padrões anômalos.
- Aplicar atualização/patches disponibilizados pela Microsoft para as CVEs citadas.
Limites das informações
O relatório consolida CVEs e telemetria, mas não fornece uma lista exaustiva de todos os alvos impactados nem divulga indicadores completos de comprometimento no texto sumarizado pela fonte RSS.
Fonte: Kaspersky Securelist (post técnico de pesquisa).