Uma nova campanha de phishing tem como alvo órgãos governamentais e empresas privadas, explorando uma falha no Windows que permite a exposição de hashes NTLM por meio de arquivos .library-ms. A vulnerabilidade, catalogada como CVE-2025-24054, foi corrigida pela Microsoft em março de 2025, mas só após a liberação do patch é que sua exploração ativa foi detectada.
Pesquisadores da Check Point identificaram atividade maliciosa relacionada à falha entre os dias 20 e 25 de março. Embora uma das origens dos ataques esteja vinculada ao grupo APT28, ligado ao governo russo, os dados obtidos ainda são insuficientes para atribuir os ataques com total certeza.
Como funciona a exploração
O protocolo NTLM (New Technology LAN Manager), utilizado em processos de autenticação da Microsoft, evita o envio de senhas em texto puro. No entanto, ele é vulnerável a ataques de repetição e força bruta. Diante disso, a Microsoft já iniciou a substituição gradual do NTLM por métodos mais seguros, como Kerberos.
Nos ataques analisados, as vítimas — localizadas principalmente na Polônia e Romênia — recebiam e-mails com links do Dropbox que levavam a arquivos ZIP. Dentro desses arquivos havia um .library-ms, tipo legítimo de arquivo que exibe uma biblioteca virtual no Windows. O arquivo malicioso incluía um caminho para um servidor SMB remoto sob controle dos criminosos.
Mínima interação, máximo risco
Ao extrair o ZIP, o próprio Windows Explorer interage automaticamente com o .library-ms, acionando a vulnerabilidade e realizando uma conexão SMB com o endereço malicioso. Nesse processo, o sistema tenta se autenticar via NTLM, expondo os hashes ao invasor.
Notícias Relacionadas
Dupla correção
Atualizações emergenciais do Windows Server restauram inicialização de contêineres Hyper-V
Microsoft libera atualizações emergenciais para Windows Server, corrigindo falhas que impediam a inicialização de contêineres Hyper-V após conflitos entre versões de sistema.
Atualização Windows
Atualização do Windows 11 causa erro no login facial do Windows Hello
Usuários que instalaram a atualização de abril do Windows 11 — identificada pelo código KB5055523 — começaram a relatar instabilidades no recurso de reconhecimento facial do Windows Hello. O problema surgiu poucos dias após o update e tem afetado especialmente webcams com suporte a infravermelho. A falha prejudica a autenticação biométrica via rosto, um dos […]
Em campanhas posteriores, os atacantes passaram a distribuir os arquivos .library-ms diretamente por e-mail, sem necessidade de compactação. A simples ação de clicar ou inspecionar o arquivo já era suficiente para disparar a falha, conforme alertado pela Microsoft.
Além do .library-ms, os arquivos continham outros itens, como xd.url, xd.website e xd.link, que também exploram vulnerabilidades conhecidas para vazamento de NTLM, funcionando como plano B caso o vetor principal falhasse.
Os servidores SMB envolvidos operavam a partir dos endereços IP 159.196.128[.]120 e 194.127.179[.]157.
Repercussão e medidas de proteção
Apesar de a CVE-2025-24054 ter sido classificada como de severidade média, a facilidade de exploração e as consequências potenciais — como elevação de privilégios e acesso indevido — tornam a falha crítica na prática. Especialistas recomendam a aplicação imediata do patch de março de 2025, além da desativação do NTLM sempre que possível.
A Check Point reforça que mesmo interações mínimas com o arquivo malicioso podem comprometer a segurança do sistema, exigindo atenção redobrada com e-mails e anexos suspeitos.
