Скрытый механизм похищает данные без вашего ведома и согласия.
Хакеры начали активно эксплуатировать новую уязвимость Windows, связанную с обработкой файлов .library-ms, которая позволяет удалённо получать NTLM-хэши пользователей. Исправление для проблемы, зарегистрированной под идентификатором CVE-2025-24054 , было включено в мартовское обновление безопасности Microsoft, однако изначально считалась маловероятной для эксплуатации. Тем не менее, буквально через несколько дней после релиза заплатки исследователи из Check Point зафиксировали реальные атаки, направленные на правительственные учреждения и частные компании.
NTLM — устаревший протокол аутентификации, применяемый в системах Microsoft. Он уже давно признан небезопасным. Хотя он и не передаёт пароли в открытом виде, перехваченные хэши легко подвергаются атакам перебора или повторного воспроизведения. Именно из-за таких рисков Microsoft постепенно отказывается от NTLM в пользу более надёжных протоколов вроде Kerberos.
По данным Check Point, злоумышленники рассылают фишинговые письма с ссылкой на Dropbox, где размещён ZIP-архив. Внутри — специально подготовленный файл .library-ms, представляющий собой легитимный формат Windows для отображения виртуальных библиотек. Однако в данном случае он настроен на обращение к удалённому SMB-серверу, находящемуся под контролем атакующих.
Как только архив распаковывается, Windows автоматически взаимодействует с файлом и инициирует соединение с удалённым ресурсом. При этом система начинает аутентификацию по NTLM, в процессе которой хэши пользователя отправляются на сервер злоумышленников. Причём для активации уязвимости достаточно простого взаимодействия с файлом — например, одиночного клика или открытия его свойств.
Позднее были обнаружены новые случаи, где файл .library-ms прикреплялся к письмам напрямую, без архива. Оказалось, что для срабатывания эксплойта достаточно просто скачать файл — даже без открытия. Это резко повышает риск, особенно в случае с сотрудниками, привыкшими просматривать вложения без подозрений.
Кроме основного файла, в архиве нередко находились и другие компоненты — файлы с расширениями .url, .website и .link. Они используют более старые уязвимости, тоже связанные с утечками NTLM-хэшей. Судя по всему, они добавляются как резервный вариант, если основной способ окажется неэффективным.
Особую тревогу вызывает тот факт, что атака требует минимальных действий со стороны пользователя. Поэтому, несмотря на присвоенный уязвимости средний уровень серьёзности, её последствия могут быть крайне опасными — от обхода аутентификации до захвата учётных записей с повышенными правами.
Специалисты настоятельно рекомендуют всем организациям как можно скорее установить мартовский Patch Tuesday и полностью отключить NTLM-аутентификацию, если она не используется по техническим причинам.