Introduzione alla vulnerabilità NTLM
Il protocollo NTLM (New Technology LAN Manager) di Windows ha recentemente attirato l’attenzione degli esperti di sicurezza informatica a causa di una vulnerabilità critica. Microsoft ha rilasciato una patch l’11 marzo, affermando che non esistevano exploit noti. Tuttavia, la realtà è ben diversa. Secondo Check Point Research, il bug è stato già utilizzato in attacchi di phishing contro enti governativi e aziende private, evidenziando la necessità di una maggiore attenzione alla sicurezza informatica.
Meccanismo di funzionamento di NTLM
NTLM è una suite di protocolli di autenticazione che consente di verificare l’identità degli utenti attraverso un meccanismo di challenge/risposta. In questo processo, viene trasmesso un hash anziché la password in chiaro, rendendo teoricamente più sicura l’autenticazione.
Tuttavia, nonostante i miglioramenti apportati da Microsoft, le risposte (hash) possono essere intercettate e utilizzate per attacchi di relay o forza bruta. Questo rappresenta una grave lacuna nella sicurezza, che ha spinto Microsoft a considerare l’abbandono definitivo di NTLM in favore di soluzioni più sicure.
Attacchi di phishing e sfruttamento della vulnerabilità
Circa otto giorni dopo il rilascio della patch, Check Point ha rilevato un aumento degli attacchi di phishing che sfruttano la vulnerabilità CVE-2025-24054. Gli attaccanti inviano email contenenti link a file ZIP ospitati su Dropbox. All’interno di questi archivi si trova un file .library-ms che, se estratto, stabilisce una connessione a un server SMB controllato dai cybercriminali. È sufficiente un semplice clic per attivare la connessione, attivando così l’autenticazione NTLM e consentendo il furto degli hash.
Questa vulnerabilità può essere sfruttata con una minima interazione dell’utente, come la selezione del file o un clic destro.
Target degli attacchi e implicazioni future
Attualmente, i principali bersagli di questi attacchi sono enti governativi e aziende private situate in Polonia e Romania. Sebbene non siano noti gli autori degli attacchi, si sospetta che possano essere collegati al gruppo russo Fancy Bear. La situazione è allarmante e richiede un’azione immediata da parte delle organizzazioni per proteggere i propri sistemi e dati. È fondamentale che le aziende adottino misure di sicurezza più rigorose e formino i propri dipendenti sui rischi associati agli attacchi di phishing.
