.library-msファイルを使用してNTLMハッシュを公開するWindowsの脆弱性は、現在、政府機関や民間企業をターゲットとしたフィッシング・キャンペーンで、ハッカーによって積極的に悪用されている。
CVE-2025-24054として追跡されているこの欠陥は、マイクロソフト社の2025年3月のパッチチューズデーで修正された。当初は、この欠陥が悪用される可能性は「低い」と評価されていました。
しかし、チェック・ポイントのリサーチャーによれば、パッチが提供されてからわずか数日後、2025年3月20日から25日にかけて、CVE-2025-24054に対する活発な悪用活動が確認されたとのことです。
これらの攻撃の背後にある IP アドレスの 1 つは、ロシアの国家が支援する脅威グループ APT28(”Fancy Bear”)と以前リンクされていましたが、これは帰属を確信させるには十分な証拠ではありません。
NTLMハッシュの暴露
NTLM(New Technology LAN Manager)はマイクロソフトの認証プロトコルで、平文のパスワードを送信する代わりに、ハッシュを含むチャレンジ・レスポンス・ネゴシエーションを使ってユーザーを認証する。
NTLM は平文パスワードの送信を回避する一方で、リプレイ攻撃や キャプチャしたハッシュのブルートフォースクラックといった脆弱性のため、もはや安全とは考えられていない。
このため、Microsoft はNTLM 認証を段階的に廃止し、Kerberos や Negotiate を採用し始めている。
チェック・ポイントが確認した攻撃では、ポーランドとルーマニアの企業に対して、.library-ms ファイルを含む ZIP アーカイブへの Dropbox リンクを記載したフィッシング・メールが送信されました。
Source:チェック・ポイント
library-msファイルは正規のファイルタイプで、開くとWindowsのライブラリ(仮想コンテナ)が表示され、設定されたさまざまなソースのファイルやフォルダが含まれます。
このフィッシング攻撃では、library-ms ファイルに攻撃者のコントロール下にあるリモート SMB サーバーへのパスが含まれるように作成されています。
ソースはこちら:チェック・ポイント
.library-msファイルを含むZIPファイルを解凍する際、Windowsエクスプローラーは自動的にこのファイルを操作するため、CVE-2025-24054の欠陥が誘発され、Windowsはファイル内で指定されたURLにSMB接続を行います。
WindowsがリモートのSMBサーバに接続すると、NTLMによる認証が試みられ、攻撃者はユーザのNTLMハッシュを取得することができます。
その後、チェック・ポイントは、.library-msがアーカイブなしで添付されたフィッシング・メールを発見しました。この.library-msファイルをダウンロードするだけで、リモート・サーバに対するNTLM認証が実行され、この欠陥を悪用するためにアーカイブが必要ないことが実証されました。
「チェック・ポイントは、「2025年3月25日、チェック・ポイント・リサーチは、世界中の企業を標的として、これらのファイルを圧縮せずに配布するキャンペーンを発見しました。
「マイクロソフト社によると、このエクスプロイトは、悪意のあるファイルを選択(シングルクリック)したり、検査(右クリック)したり、ファイルを開いたり実行したりする以外のアクションを実行するなど、ユーザが悪意のあるファイルを操作する際の最小限の操作で発動するとのことです。
悪意のあるアーカイブには、さらに「xd.url」、「xd.website」、「xd.link」という3つのファイルが含まれており、これらは古いNTLMハッシュ・リークの欠陥を利用しており、「library-ms」メソッドが失敗した場合に備えて冗長性を持たせるために含まれている可能性が高いという。
チェック・ポイントによれば、今回のキャンペーンで攻撃者が管理していたSMBサーバは、159.196.128[.]120および194.127.179[.]157のIPアドレスを使用していたとのことです。
NTLM ハッシュをキャプチャすることで、認証のバイパスや権限の昇格につながる可能性があるため、CVE-2025-24054 の深刻度は「中」と評価されていますが、その潜在的な影響は深刻です。
悪用に必要な操作が少ないことを考えると、組織はこれを高リスクの問題として扱うべきです。すべての組織は 2025 年 3 月のアップデートをインストールし、NTLM 認証が不要な場合はオフにすることを推奨する。
Comments