{"id":310793,"date":"2025-04-22T08:04:05","date_gmt":"2025-04-22T06:04:05","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=310793"},"modified":"2025-04-22T08:16:41","modified_gmt":"2025-04-22T06:16:41","slug":"windows-ntlm-schwachstelle-cve-2025-24054-wird-ausgenutzt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/04\/22\/windows-ntlm-schwachstelle-cve-2025-24054-wird-ausgenutzt\/","title":{"rendered":"Windows NTLM-Schwachstelle CVE-2025-24054 wird ausgenutzt"},"content":{"rendered":"

\"Windows\"[English<\/a>]Zum 11. M\u00e4rz 2025 hat Microsoft auch die in Windows enthaltene Schwachstelle CVE-2025-24054 \u00f6ffentlich dokumentiert und gepatcht. Die Schwachstelle erm\u00f6glicht ein NTLM-Spoofing, wurde von Microsoft aber als \"schwierig auszunutzen\" klassifiziert. Nun wies Checkpoint vorige Woche darauf hin, dass Cyberkriminelle Systeme \u00fcber CVE-2025-24054 angreifen.<\/p>\n

<\/p>\n

Windows Schwachstelle CVE-2025-24054<\/h2>\n

\"\"Microsoft hat zum 11. M\u00e4rz 2025 die\u00a0Schwachstelle CVE-2025-24054<\/a> dokumentiert und durch Sicherheitsupdates geschlossen. Es handelt sich um eine NTLM Hash Disclosure Spoofing-Schwachstelle, die mit einem CVEv3 Score 6.5 als important klassifiziert wird.<\/p>\n

Die Schwachstelle basiert darauf, dass bei externer Kontrolle von Dateinamen oder -pfaden in Windows NTLM es einem nicht autorisierten Angreifer erm\u00f6glicht wird, Spoofing \u00fcber ein Netzwerk durchzuf\u00fchren.<\/p>\n

Eine minimale Interaktion eines Benutzers mit einer b\u00f6sartigen Datei (z.B. ausw\u00e4hlen durch Anklicken oder Rechtsklick oder das Ausf\u00fchren einer anderen Aktion als das \u00d6ffnen oder Ausf\u00fchren der Datei, ziehen und ablegen oder einfaches navigieren zu dem Ordner, der die sch\u00e4dliche Datei enth\u00e4lt), kann diese Sicherheitsl\u00fccke ausl\u00f6sen. Microsoft stuft die Schwachstelle nach wie vor als \"Exploitation Less Likely\" und gibt an, dass keine Ausnutzung bekannt sei.<\/p>\n

Microsoft hat f\u00fcr alle noch im Support befindlichen Windows-Versionen (Windows Server 2008 R2 bis Windows Server 2025, Windows 10, Windows 11) Sicherheitsupdates zum Schlie\u00dfen der Schwachstelle ver\u00f6ffentlicht (siehe links am Artikelende). Rapid7 listet die betreffenden Updates in diesem Beitra<\/a>g auf.<\/p>\n

NTLM (New Technology LAN Manager) ist eine Reihe von Authentifizierungsprotokollen, die von Microsoft entwickelt wurden, um Benutzeridentit\u00e4ten zu verifizieren und die Integrit\u00e4t und Vertraulichkeit der Netzwerkkommunikation zu sch\u00fctzen. NTLM arbeitet mit einem direkten Client-Server-Austausch, dem so genannten NTLM Challenge\/Response-Mechanismus, bei dem der Server den Client auffordert, seine Identit\u00e4t zu \u00fcberpr\u00fcfen, ohne das eigentliche Kennwort des Benutzers \u00fcber das Netzwerk zu senden.<\/p><\/blockquote>\n

Checkpoint und CISA warnen vor\u00a0CVE-2025-24054<\/h2>\n

Die US-Cybersicherheitsbeh\u00f6rde CISA hat die\u00a0Schwachstelle CVE-2025-24054<\/a> zum 17. April 2025 in ihrem Katalog mit ausgenutzten Schwachstellen aufgenommen<\/a>. Mir ist bereits zum 16. April 2025 der nachfolgende Tweet untergekommen, wo vor der Schwachstelle CVE-2025-24054<\/a> gewarnt wird, weil es einen NTLM-Exploit gibt, der ausgenutzt wird.<\/p>\n

\"Vulnearability<\/a><\/p>\n

Sicherheitsforscher von Check Point Research weisen im Artikel CVE-2025-24054, NTLM Exploit in the Wild<\/a> vom 16. April 2025 drauf hin, dass diese Schwachstelle seit dem 19. M\u00e4rz 2025 aktiv ausgenutzt werde. CVE-2025-24054 ist eine Sicherheitsl\u00fccke im Zusammenhang mit der Offenlegung von NTLM-Hashes durch Spoofing, die mit einer in b\u00f6ser Absicht erstellten .library-ms-Datei ausgenutzt werden kann. Angreifer k\u00f6nnen \u00fcber einen Exploit m\u00f6glicherweise NTLM-Hashes oder Benutzerpassw\u00f6rter aussp\u00e4hen und Systeme gef\u00e4hrden, hei\u00dft es.<\/p>\n

Obwohl von Microsoft am 11. M\u00e4rz 2025 ein Patch ver\u00f6ffentlicht wurde, hatten Angreifer laut Check Point Research bereits \u00fcber eine Woche Zeit, um Exploits zu entwickeln und einzusetzen, bevor die Sicherheitsl\u00fccke aktiv ausgenutzt wurde. Bereits am 20. und 21. M\u00e4rz 2025 richtete sich eine Kampagne gegen staatliche und private Einrichtungen in Polen und Rum\u00e4nien.<\/p>\n

Die Angreifer nutzten Malspam, um einen Dropbox-Link zu verbreiten, der ein Archiv enthielt, das mehrere bekannte Schwachstellen, darunter CVE-2025-24054, ausnutzte, um NTLMv2-SSP-Hashes zu sammeln.\u00a0Ersten Berichten zufolge wurde die Schwachstelle ausgenutzt, sobald die .library-ms<\/em>-Datei entpackt wurde.<\/p>\n

In der Patch-Dokumentation von Microsoft wird jedoch darauf hingewiesen, dass die Sicherheitsl\u00fccke auch durch minimale Benutzerinteraktion ausgel\u00f6st werden kann, z. B. durch Klicken mit der rechten Maustaste, Ziehen und Ablegen oder einfaches Navigieren zu dem Ordner, der die sch\u00e4dliche Datei enth\u00e4lt. Bei diesem Exploit scheint es sich um eine Variante der bereits gepatchten Sicherheitsl\u00fccke CVE-2024-43451 zu handeln, da beide mehrere \u00c4hnlichkeiten aufweisen.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Microsoft Security Update Summary (11. M\u00e4rz 2025)<\/a>
\nPatchday: Windows 10\/11 Updates (11. M\u00e4rz 2025)<\/a>
\nPatchday: Windows Server-Updates (11. M\u00e4rz 2025)<\/a>
\nPatchday: Microsoft Office Updates (11. M\u00e4rz 2025)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Zum 11. M\u00e4rz 2025 hat Microsoft auch die in Windows enthaltene Schwachstelle CVE-2025-24054 \u00f6ffentlich dokumentiert und gepatcht. Die Schwachstelle erm\u00f6glicht ein NTLM-Spoofing, wurde von Microsoft aber als \"schwierig auszunutzen\" klassifiziert. Nun wies Checkpoint vorige Woche darauf hin, dass Cyberkriminelle Systeme … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,301,2557],"tags":[8548,4328,4315,3288],"class_list":["post-310793","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows","category-windows-server","tag-patchday-3-2025","tag-sicherheit","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/310793","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=310793"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/310793\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=310793"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=310793"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=310793"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}