Ga naar inhoud

Windows-spoofinglek gebruikt om NTLMv2-hashes bij overheden te stelen

Captain Kirk
 Delen

Aanbevolen berichten

Captain Kirk Grootmeester

Captain Kirk

Geplaatst:
Geplaatst:

Aanvallers maken actief misbruik van een kwetsbaarheid in Windows voor het stelen van NTLMv2-hashes bij Europese overheidsinstanties en private instellingen, zo meldt securitybedrijf Checkpoint. Ook het Amerikaanse cyberagentschap CISA waarschuwt voor actief misbruik van de kwetsbaarheid, waarvoor afgelopen maart een beveiligingsupdate verscheen.

Het beveiligingslek, aangeduid als CVE-2025-24054, maakt het mogelijk voor aanvallers om NTLMv2-hashes van gebruikers te stelen. Hiervoor versturen de aanvallers e-mails met link een naar zip-bestand. Dit zip-bestand bevat weer een .library-ms-bestand. Ook komt het voor dat aanvallers dit bestand direct naar doelwitten mailen. Alleen het selecteren, inspecteren, verslepen of andere actie met het bestand is voldoende om het lek te misbruiken. Het is niet nodig voor een doelwit om het bestand te openen.

De NT LAN Manager (NTLM), en diens opvolger NTLMv2, is een challenge-en-response protocol voor het authenticeren van gebruikers, waarbij gebruik wordt gemaakt van wachtwoordhashes. "Na het ontvangen van de NTLM-hash kan een aanvaller een pass-the-hash-aanval uitvoeren om zich als de gebruiker van de betreffende hash voor te doen, zonder over het bijbehorende wachtwoord te beschikken", zo liet securitybedrijf ClearSky vorig jaar over een soortgelijke actief misbruikte kwetsbaarheid (CVE-2024-43451) weten.

Volgens Checkpoint vindt misbruik van CVE-2025-24054 sinds 19 maart plaats, acht dagen na het uitkomen van de beveiligingsupdate op 11 maart. Ook Checkpoint merkt op dat aanvallers met de gestolen hashes relay-aanvallen kunnen uitvoeren of kunnen proberen om de hash te kraken en zo het bijbehorende wachtwoord te achterhalen. Verder stelt het securitybedrijf dat de exploit die misbruik van CVE-2025-24054 maakt overeenkomsten heeft met de exploit voor CVE-2024-43451.

Checkpoint laat weten dat overheidsinstanties en private instellingen in Polen en Roemenië het doelwit van aanvallen zijn geworden. Doelwitten ontvingen onder andere e-mails met een Dropbox-link die naar een zip-bestand wees. Dit zip-bestand maakte misbruik van meerdere bekende kwetsbaarheden, waaronder CVE-2024-43451. Volgens het securitybedrijf laat het snelle misbruik van het lek na het uitkomen van de update zien dat organisaties patches snel moeten toepassen en ervoor moeten zorgen dat NTLM-kwetsbaarheden in hun omgeving worden aangepakt.

 

bron: https://www.security.nl

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Helaas, je inhoud bevat woorden die we niet kunnen toestaan. Gelieve je inhoud te wijzigen en de volgende gemarkeerde woorden uit je bericht te verwijderen.
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

×
 Delen
Ga naar topic overzicht
Logo

OVER ONS

PC Helpforum helpt GRATIS computergebruikers sinds juli 2006. Ons team geeft via het forum professioneel antwoord op uw vragen en probeert uw pc problemen zo snel mogelijk op te lossen. Word lid vandaag, plaats je vraag online en het PC Helpforum-team helpt u graag verder!

SITEMAP

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.