La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de Estados Unidos ha incorporado recientemente la vulnerabilidad CVE-2025-24054 a su Catálogo de Vulnerabilidades Explotadas Activamente (KEV), confirmando su uso en escenarios reales desde el 19 de marzo de 2025.

¿Qué es CVE-2025-24054?

Se trata de una vulnerabilidad de suplantación de identidad (spoofing) con una puntuación CVSS v3 de 6.5, que afecta al protocolo NTLM (New Technology LAN Manager) en sistemas Microsoft Windows. El fallo radica en una validación incorrecta de rutas o nombres de archivos externos (CWE-73), permitiendo que archivos .library-ms maliciosos desencadenen conexiones SMB que exfiltran hashes NTLMv2-SSP, incluso sin necesidad de ejecutar o abrir el archivo.

Aunque Microsoft ya corrigió el fallo durante el Patch Tuesday de marzo, su explotación activa fue confirmada por Check Point Research, especialmente en campañas de malspam dirigidas a objetivos en Polonia y Rumania.

Técnica de explotación

Los atacantes distribuyen enlaces a archivos .zip alojados en servicios legítimos como Dropbox. Al descomprimirlos, se activa una solicitud SMB automática desde el explorador de archivos de Windows, que se conecta a un servidor remoto bajo control del atacante. Esta simple acción es suficiente para capturar los hashes NTLM, sin que el usuario interactúe directamente con el archivo.

Check Point también documentó una variante que emplea archivos Info.doc.library-ms sin compresión, diseñados específicamente para evadir sistemas de detección basados en análisis de paquetes.

Contexto y actores involucrados

Esta vulnerabilidad es una evolución directa de CVE-2024-43451, utilizada en 2024 por grupos como UAC-0194 y Blind Eagle en ataques contra Ucrania y Colombia. Los hashes obtenidos permiten movimiento lateral y escalada de privilegios en redes internas, una técnica común en ataques dirigidos avanzados (APT).

Pese a que Microsoft catalogó su explotabilidad como “menos probable”, la realidad ha demostrado lo contrario. El descubrimiento de esta vulnerabilidad fue atribuido a investigadores independientes: Rintaro Koike (NTT Security Holdings), 0x6rss y j00sean.

Medidas de mitigación recomendadas

Ante la creciente explotación de este vector, se recomienda adoptar inmediatamente las siguientes acciones:

• Deshabilitar NTLM en entornos corporativos mediante políticas de grupo, priorizando el uso de Kerberos.
• Bloquear tráfico SMB saliente no autorizado en firewalls perimetrales y de endpoint.
• Monitorizar conexiones SMB a dominios externos o no confiables mediante herramientas SIEM.
• Educar a usuarios finales sobre los riesgos asociados a archivos .library-ms y archivos comprimidos de fuentes desconocidas.

CISA ha exigido a las agencias federales aplicar los parches antes del 8 de mayo de 2025.

La explotación activa de CVE-2025-24054 demuestra una vez más que los protocolos heredados como NTLM representan un riesgo crítico si no se eliminan completamente de los entornos corporativos. Su facilidad de explotación y su capacidad para abrir la puerta a movimientos laterales hacen que incluso una vulnerabilidad de “riesgo medio” pueda ser devastadora en manos de un atacante con objetivos claros.

PoC: https://github.com/moften/CVE-2025-24054