CVE-2025-24054 Under Active Attack—Steals NTLM Credentials on File Download
U.S. CISA adds Apple products and Microsoft Windows NTLM flaws to its Known Exploited Vulnerabilities catalog
U.S. CISA adds Apple products and Microsoft Windows NTLM flaws to its Known Exploited Vulnerabilities catalog
securityaffairs.com
Windows NTLM Vulnerability Actively Exploit in the Wild to Hack Systems
Windows NTLM Vulnerability Actively Exploit in the Wild to Hack Systems
A critical vulnerability in Microsoft Windows, identified as CVE-2025-24054, has been actively exploited in the wild since March 19, 2025, targets organizations worldwide.
gbhackers.com
- 취약점 개요
- CVE 식별자: CVE-2025-24054, CVSS 점수: 6.5 (중간 수준)
- 유형: NTLM(New Technology LAN Manager) 해시 유출 스푸핑(spoofing) 취약점
- 대상: Microsoft Windows (Windows Explorer의 파일 경로 처리 과정에 존재)
- 상태: 실제 악용 중으로, 미국 CISA의 Known Exploited Vulnerabilities(KEV) 목록에 등재됨
- 악용 방식
.library-ms파일을 악성으로 조작해 사용자의 NTLMv2 해시 유출- 피해자가 파일을 열지 않더라도 단순히 클릭(선택), 우클릭, 탐색만 해도 SMB 인증 요청이 발생
- 악성 SMB 서버로 자동 인증 시도되며 해시가 유출됨
- ZIP 압축 또는 압축 해제 여부와 상관없이 피해 발생 가능
- 주요 공격 캠페인
- 2025년 3월 19일 최초 악용 시작, 3월 20~21일 폴란드, 루마니아 정부·민간 기관 대상 대규모 피싱 캠페인 전개
- Dropbox 링크를 통한 압축 파일 유포 (
xd.zip,xd.library-ms,xd.lnk,xd.url등 포함) - 3월 25일부터는 압축 없이
.library-ms단일 파일 형태로 유포하는 캠페인 확산 - 관련 악성 SMB 서버:
159.196.128[.]120,194.127.179[.]157
- 기술적 분석
.library-ms는 Windows 탐색기에서 라이브러리 경로 지정에 사용하는 특수 파일 형식- 파일이 포함된 디렉터리에 접근하거나 파일을 우클릭하는 것만으로도 NTLMv2 해시가 원격 서버로 전송됨
- 해당 해시는 크래킹을 통해 패스워드 복원 또는 NTLM 릴레이 공격, 패스더해시(pass-the-hash) 공격 등에 활용됨
- 관련 변종: CVE-2024-43451 (우크라이나·콜롬비아 대상 APT 공격에 활용됨)
- CISA 및 Microsoft 대응
- Microsoft: 2025년 3월 11일 보안 업데이트 통해 해당 취약점 패치 배포
- 초기에는 CVE-2025-24071로 분류되었으나 이후 CVE-2025-24054로 갱신됨
- CISA: FCEB(미 연방 민간 기관)에 5월 8일까지 패치 적용을 강제
- Check Point: 악성 파일을
Exploit.Wins.CVE_2025_24054.A시그니처로 탐지
- Microsoft: 2025년 3월 11일 보안 업데이트 통해 해당 취약점 패치 배포
- 영향 및 위협
- NTLMv2 해시 유출로 네트워크 횡적 이동(lateral movement) 및 권한 상승(privilege escalation) 가능
- SMB 서명 미적용 환경, NTLM 활성 환경에서는 도메인 전체 침해 위험 존재
- 최소 사용자 상호작용만으로 발생하므로 사회공학적 공격과 결합 시 대규모 피해 가능
- 보안 권고
- 3월 보안 업데이트 반드시 적용
- NTLM 비활성화 및 Kerberos 인증 방식 전환 권장
- SMB 서명 필수화 및 SMB 아웃바운드 트래픽 통제
.library-ms,.url,.lnk확장자 포함된 첨부파일 차단- 이메일 보안 게이트웨이 및 EDR에서 해당 시그니처 기반 탐지 및 차단 정책 수립
.library-ms확장자 실행 정책 제한 (그룹 정책, Applocker, Defender ASR 활용)
- 결론
- CVE-2025-24054는 간단한 파일 탐색만으로 인증정보 유출을 유도하는 고위험 소셜엔지니어링 기반 취약점
- NTLM 기반 인증 체계를 사용하는 조직은 즉각적으로 Kerberos로 전환하고 SMB 보안 강화 조치를 취해야 함
- 보안 패치 지연 시 심각한 인증정보 유출 및 도메인 전체 침해로 이어질 수 있어 선제적 대응 필수
'Kant's IT > Vulnerability' 카테고리의 다른 글
| 리눅스 커널 CVE-2024-53141 취약점 분석 및 PoC 공개에 따른 보안 대응 (0) | 2025.05.29 |
|---|---|
| Bubble.io 0-Day 취약점: Elasticsearch 쿼리 위조 통한 사용자 정보 유출 위협 (0) | 2025.05.29 |
| 2024년 마이크로소프트 보안 취약점 역대 최고치 기록 (0) | 2025.05.29 |
| 2024년 Microsoft 보안 취약점 1,360건 기록…역대 최고치 (0) | 2025.05.28 |
| Cisco Webex 링크 취약점(CVE-2025-20236)을 통한 원격 코드 실행 위협 분석 (0) | 2025.05.28 |