Người dùng Windows 10, 11 cần cập nhật ngay Lỗ hổng NTLM, gia tăng đột biến hacker khai thác tấn công chiếm quyền và đánh cắp dữ liệu nhạy cảm
Một lỗ hổng bảo mật nghiêm trọng trên Windows (mã CVE-2025-24054) đã bị các hacker khai thác trong chiến dịch lừa đảo trực tuyến. Họ sử dụng tệp .library-ms để dụ người dùng tiết lộ hash NTLM, từ đó vượt qua xác thực và leo thang đặc quyền trong hệ thống.
Microsoft đã phát hành bản vá cho lỗ hổng này trong sự kiện Patch Tuesday (thứ Ba vá lỗi) vào tháng 3/2025. Tuy nhiên, chỉ vài ngày sau, các nhà nghiên cứu từ Check Point đã ghi nhận sự gia tăng đột biến của các hoạt động tấn công, đặc biệt là trong khoảng thời gian từ ngày 20 đến 25/3.
Được biết NTLM (New Technology LAN Manager) là giao thức xác thực của Microsoft, sử dụng cơ chế thách thức – phản hồi qua mã băm để tránh truyền mật khẩu dưới dạng văn bản thuần túy. Tuy nhiên, NTLM đã lỗi thời và dễ bị tấn công kiểu replay (phát lại), brute-force (bẻ khóa bằng thử sai), v.v.
Check Point cho biết, tin tặc gửi email lừa đảo có chứa liên kết Dropbox dẫn đến một tệp ZIP. Bên trong ZIP này là tệp .library-ms độc hại. Khi người dùng giải nén và mở thư mục, Windows Explorer sẽ tự động tương tác với tệp, kích hoạt lỗ hổng CVE-2025-24054 và buộc máy tính kết nối đến máy chủ SMB do hacker kiểm soát, qua đó gửi thông tin hash NTLM.
Tệ hơn nữa, trong một số tình huống, người dùng chỉ cần tải về tệp .library-ms là đã có thể bị khai thác – không cần giải nén ZIP. Các IP máy chủ SMB độc hại được Check Point xác định gồm: 159.196.128.120 và 194.127.179.157.
Microsoft cảnh báo: Lỗ hổng này có thể bị khai thác chỉ với tương tác người dùng tối thiểu – ví dụ như bấm chuột phải hoặc xem trước tệp.
Ngoài ra, trong các tệp ZIP còn xuất hiện những tệp như “xd.url”, “xd.website” và “xd.link”, sử dụng các kỹ thuật rò rỉ hash NTLM cũ làm phương án phụ, tiếp tục đe dọa đến tính bảo mật và quyền truy cập của người dùng.
Dù CVE-2025-24054 chỉ được đánh giá ở mức “trung bình”, nhưng các chuyên gia cảnh báo tác động của nó có thể vô cùng nghiêm trọng. Do đó, tất cả các tổ chức nên nhanh chóng cập nhật bản vá tháng 3/2025, đồng thời vô hiệu hóa các phương thức xác thực NTLM không cần thiết để giảm thiểu rủi ro.
Microsoft đã phát hành bản vá cho lỗ hổng này trong sự kiện Patch Tuesday (thứ Ba vá lỗi) vào tháng 3/2025. Tuy nhiên, chỉ vài ngày sau, các nhà nghiên cứu từ Check Point đã ghi nhận sự gia tăng đột biến của các hoạt động tấn công, đặc biệt là trong khoảng thời gian từ ngày 20 đến 25/3.
Được biết NTLM (New Technology LAN Manager) là giao thức xác thực của Microsoft, sử dụng cơ chế thách thức – phản hồi qua mã băm để tránh truyền mật khẩu dưới dạng văn bản thuần túy. Tuy nhiên, NTLM đã lỗi thời và dễ bị tấn công kiểu replay (phát lại), brute-force (bẻ khóa bằng thử sai), v.v.
Check Point cho biết, tin tặc gửi email lừa đảo có chứa liên kết Dropbox dẫn đến một tệp ZIP. Bên trong ZIP này là tệp .library-ms độc hại. Khi người dùng giải nén và mở thư mục, Windows Explorer sẽ tự động tương tác với tệp, kích hoạt lỗ hổng CVE-2025-24054 và buộc máy tính kết nối đến máy chủ SMB do hacker kiểm soát, qua đó gửi thông tin hash NTLM.
Tệ hơn nữa, trong một số tình huống, người dùng chỉ cần tải về tệp .library-ms là đã có thể bị khai thác – không cần giải nén ZIP. Các IP máy chủ SMB độc hại được Check Point xác định gồm: 159.196.128.120 và 194.127.179.157.
Microsoft cảnh báo: Lỗ hổng này có thể bị khai thác chỉ với tương tác người dùng tối thiểu – ví dụ như bấm chuột phải hoặc xem trước tệp.
Ngoài ra, trong các tệp ZIP còn xuất hiện những tệp như “xd.url”, “xd.website” và “xd.link”, sử dụng các kỹ thuật rò rỉ hash NTLM cũ làm phương án phụ, tiếp tục đe dọa đến tính bảo mật và quyền truy cập của người dùng.
Dù CVE-2025-24054 chỉ được đánh giá ở mức “trung bình”, nhưng các chuyên gia cảnh báo tác động của nó có thể vô cùng nghiêm trọng. Do đó, tất cả các tổ chức nên nhanh chóng cập nhật bản vá tháng 3/2025, đồng thời vô hiệu hóa các phương thức xác thực NTLM không cần thiết để giảm thiểu rủi ro.
