Networkforensic

Threat hunting

CVE-2025-24054 - NTLM exploit

 12 April 2025  - Blog Post # 873

CVE-2025-24054 - NTLM Hash Disclosure Spoofing Vulnerability
Dette misbruges aktivt på flere forskellige måder via e-mail. Det er som URL's i mail til en fil fra eks et SMB share eller som vedhæftet filer i mail endten pakket i ZIP eller som upakket filer. Den sidste er rigtig slem fordi modtageren bare behøver at klikke en gang på filen og så er stor risiko for at det kan gå meget galt.

Check point research har et rigtig godt write på de ondsindet kampanger, jag kan anbefale man læser igennem.


Mail-test
Jeg har testet en del mail systemer, og ALLE sammen tillader default filer med extension .library-ms. Jeg anbefaler kraftigt at denne extension typer bliver droppet på alle mail-systemer.

Eksempel fra O365



Yderligere anbefalinger
Benyt outboud firewall regler der dropper al outboud SMB trafik til ikke "trusted" IP adresser eller domæner.

Patch
Sørg for at få patches alle systemer med CVE-2025-24054, da denne kan få stor Impact.

GPO blokeringer
Man kan via GPO i AD tilføje restrektioner på outbound SMB ntlmv2 valideringer.
"Network Security: Restrict NTLM: Outgouing NTLM traffic to remote servers" og sæt denne til endten "Audit all" eller "Deny all"

Benyttes "Deny all" kan dette styres yderligere, således at man får trusted IP adresser hvortil ntlmv2 valideringer vil virker. Man vil med dette tiltag sikre fremadrettet angreb der forsøger denne form angreb.
"Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication".

Sysmon
I min frigivet sysmon config kan man kigge efter følgende 2 events der fint afsløre misbrug af library-ms.
Her kan man finde de oprettet filer med library-ms. extensions og man kan se hvis der benyttes eks web-mail og en bruger klikker på filen og denne bliver hentet ned til systemet.

Event ID 11
technique_id=TA0008,technique_name=Lateral Movement - Windows Library Description File Created

Event ID 15
technique_id=T1553.005,technique_name=Mark of the Web Bypass files

Sysmon config 84 er krævet.

Happy hunting.....

 SNORT
NF IDS Rules
Latest Updates

Top 10 bad TLD

Danish law DNS blocking

Trojan Winn32/Stealc

NoMachine

Busybox Shell

Redline Stealer

Unsupported IIS 8.0

NoMachine

Download   
 

 Suricata
NF IDS Rules
3 Latest Updates

BIMP-BotNet

Remcos-RAT

IOT-Password Attacks
 
Download

Sysmon Config
Latest Updates

Version 15.15 Config 84
Download