Networkforensic
Threat hunting
CVE-2025-24054 - NTLM exploit
12 April 2025 - Blog Post # 873
CVE-2025-24054 - NTLM Hash Disclosure Spoofing Vulnerability
Dette misbruges aktivt på flere forskellige måder via e-mail. Det er
som URL's i mail til en fil fra eks et SMB share eller som vedhæftet
filer i mail endten pakket i ZIP eller som upakket filer. Den sidste
er rigtig slem fordi modtageren bare behøver at klikke en gang på
filen og så er stor risiko for at det kan gå meget galt.
Check point research har et rigtig godt write på de ondsindet
kampanger, jag kan anbefale man læser igennem.
Mail-test
Jeg har testet en del mail systemer, og ALLE sammen tillader default
filer med extension
.library-ms. Jeg anbefaler kraftigt at denne extension typer
bliver droppet på alle mail-systemer.
Eksempel fra O365
Yderligere anbefalinger
Benyt outboud firewall regler der dropper al outboud SMB trafik til
ikke "trusted" IP adresser eller domæner.
Patch
Sørg for at få patches alle systemer med CVE-2025-24054, da denne
kan få stor Impact.
GPO blokeringer
Man kan via GPO i AD tilføje restrektioner på outbound SMB ntlmv2
valideringer.
"Network Security: Restrict NTLM: Outgouing NTLM traffic to remote
servers" og sæt denne til endten "Audit all" eller "Deny all"
Benyttes "Deny all" kan dette styres yderligere, således at man får
trusted IP adresser hvortil ntlmv2 valideringer vil virker. Man vil
med dette tiltag sikre fremadrettet angreb der forsøger denne form
angreb.
"Network security: Restrict NTLM: Add remote server exceptions for
NTLM authentication".
Sysmon
I min frigivet sysmon config kan man kigge efter følgende 2 events
der fint afsløre misbrug af
library-ms.
Her kan man finde de oprettet filer med
library-ms. extensions og man kan se hvis der benyttes eks
web-mail og en bruger klikker på filen og denne bliver hentet ned
til systemet.
Event ID 11
technique_id=TA0008,technique_name=Lateral Movement - Windows
Library Description File Created
Event ID 15
technique_id=T1553.005,technique_name=Mark of the Web Bypass files
Sysmon config 84 er krævet.
Happy hunting.....
SNORT
NF IDS Rules
Latest Updates
NGROK Tunnels
Top 10 bad TLD
Danish law DNS blocking
Trojan
Winn32/Stealc
NoMachine
Busybox Shell
Redline Stealer
Unsupported IIS 8.0
Download
Suricata
NF IDS Rules
3 Latest Updates
NGROK Tunnels
BIMP-BotNet
Remcos-RAT
Download
Sysmon
Config
Latest Updates
Version 15.15 Config 95
Download