La Agencia de Seguridad, Infraestructura y Ciberseguridad conocida como (CISA), informó el jueves una falla de seguridad de gravedad media que afectó a Microsoft Windows. Dicha falla, identificada como CVE-2025-24054 (puntaje CVSS: 6.5), se trata de un error de suplantación de divulgación de hash en Windows (NTLM), parcheado por Microsoft el mes pasado en sus actualizaciones.
NTLM es un protocolo de autenticación heredado que Microsoft discontinuó oficialmente el año pasado en favor de Kerberos. En los últimos años, se habían detectado numerosos incidentes de este tipo con el fin de extraer hashes NTLM para posteriores ataques.
Si bien, Microsoft le ha otorgado a CVE-2025-24054 una evaluación de «Explotación menos probable», según Check Point, la falla ha estado bajo explotación activa desde el 19 de marzo, lo que permitió a los actores, filtrar hashes NTLM o contraseñas de usuarios para infiltrarse en los sistemas.
«Entre el 20 y el 21 de marzo de 2025, una campaña se dirigió a instituciones gubernamentales y privadas en Polonia y Rumanía«, declaró la empresa de ciberseguridad . «Los atacantes utilizaron spam malicioso para distribuir un enlace de Dropbox que contenía un archivo que explotaba múltiples vulnerabilidades conocidas, incluida la CVE-2025-24054, para recopilar hashes NTLMv2-SSP«.
Se evalúa que la falla es una variante de CVE-2024-43451, parcheada por Microsoft en noviembre de 2024 y también utilizada en ataques dirigidos a Ucrania y Colombia por actores de amenazas como UAC-0194 y Blind Eagle.
Esta explotación, puso de manifiesto la necesidad crítica de que las organizaciones apliquen parches de inmediato y se aseguren que las vulnerabilidades NTLM se solucionen rápidamente en sus entornos. Las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las correcciones necesarias a la deficiencia antes del 8 de mayo de 2025, para proteger sus redes ante la explotación activa.
Fuente
Ciberprisma - alianza por la ciberseguridad 