Også lave CVSS-scorer skal have opmærksomhed

Eskil Sørensen

04.23.2025 14:03

Der gik 8 dage fra Patch Tuesday til udnyttelse af en medium-kritisk sårbarhed var en realitet.

Normalt er det sårbarheder med de høje CVSS-scorer, der får mest opmærksomhed. Med rette, for de er almindeligvis dem, der er nemmest at udnytte, og som også har den største impact ift. fortrolighed, integritet og tilgængelighed af data.

Men i forbindelse med sidste måneds Patch Tuesday, der faldt den 11. marts, var en sårbarhed, hvis sandsynlighed for udnyttelse af Microsoft blev vurderet til at være ”mindre”, blevet ”weaponized”. I cybersikkerheds-lingo betyder det, at den nu er et angrebsvåben, fordi trusselsaktører har fundet en metode til at udnytte den,

I dette tilfælde blev den ifølge The Register brugt mod private og offentlige mål i Polen og Rumænien.

Score: 5,4-6,5

Sårbarheden i søgelyset er CVE-2025-24054, NTLM hash-leaking sårbarhed, med en score, der af Microsoft blev sat til 6,5, mens NVD satte den til 5,4.

The Register skriver, med henvisning til Check Point, at sårbarheden kan udnyttes til at lække et offers Net-NTLMv2- eller NTLMv2-SSP-hash over netværket. Ifølge Check Point kan ondsindede "forsøge at brute-force hashen offline eller udføre relæangreb," og efterligne brugeren for at få adgang til ting og udføre handlinger som dem.

Brugere blev via phishing-emails lokket til at downloade et Dropbox-hostet ZIP-arkiv kaldet xd.zip. Indeni var der fire booby-trapped filer, inklusive en .library-ms-fil, der udnyttede CVE-2025-24054. Booby-trapped filer er filer, der er blevet manipuleret til at indeholde skadelig kode eller udnyttelser, der udløses, når filen åbnes eller interageres med. Disse filer er typisk designet til at se ud som ufarlige eller nyttige, men de indeholder en skjult fælde, der kan kompromittere systemet eller dataene.

Blot at udpakke arkivet - eller i nogle tilfælde bare at se mappen i Windows Stifinder - var nok til at udløse et udgående SMB-godkendelsesforsøg, der lækkede ofrets Net-NTLMv2-hash til en fjernserver styret af angriberne.

Check Point-researcherne fandt ud af, at stjålne NTLM-hashes blev eksfiltreret til en specifik IP-adresse, der tidligere er blevet sat i forbindelse med APT28, også kendt som den russisk-støttede Fancy Bear-hackinggruppe. Der er dog ingen yderligere information, der direkte forbinder denne IP med gruppen, fremgår det af The Registers omtale af sagen.

Uanset metode, udnyttelser, trusselsaktører og CVSS-scorer, så viser sagen, at også sårbarheder med lave scorer har trusselsaktørers opmærksomhed.

Læs mere

https://www.theregister.com/2025/04/21/microsoft_apple_patch/

Sårbarhed