Una vulnerabilidad crítica de fugas de credencial NTLM de NTLM que evita el parche reciente de Microsoft para CVE-2025-24054.
La falla recientemente identificada, asignada CVE-2025-50154, permite a los atacantes extraer hashes NTLM de sistemas Windows totalmente parcheados sin ninguna interacción del usuario, lo que demuestra que la actualización de seguridad de April de Microsoft estaba incompleta.
Control de llave
1. CVE-2025-50154 Evite el parche reciente de Microsoft, habilitando el robo de credencial NTLM de clic cero.
2. Roba hashes de autenticación y descarga silenciosamente binarios maliciosos.
3. Nueva actualización de seguridad en desarrollo
Vulnerabilidad a la fuga de hash NTLM con clic cero
Según Cymulate Research Labs, la vulnerabilidad explota una brecha sutil en la estrategia de mitigación de Microsoft al aprovechar la forma en que Windows Explorer maneja los atajos de escritorio.
A diferencia del CVE-2025-24054 original, que Microsoft parcheó para evitar que los accesos directos rendericen iconos basados en rutas UNC, el nuevo Vector de ataque se centra en archivos binarios remotos que contienen sus propios datos de iconos dentro de la sección .RSRC.
Ruben Enkaoua, el investigador que descubrió la vulnerabilidad, demostró que cuando se crea un archivo LNK malicioso con el icono establecido en el shell32.dll predeterminado y la ruta ejecutable que apunta a un smb compartido remoto, Windows Explorer recupera automáticamente toda la información binaria para extraer el icono de los encabezados RT_ICON y RT_ICON.
Este proceso desencadena la autenticación NTLM sin interacción del usuario, exponiendo hashes NTLMV2-SSP que pueden capturarse y someterse a ataques con fuerza bruta fuera de línea o ataques de retransmisión NTLM.
Divulgación de hash NTLMV2-SSP
Más allá de la fuga de credenciales, la vulnerabilidad permite a los atacantes descargar binarios maliciosos a los sistemas objetivo sin consentimiento de los usuarios en silencio.
El análisis de tráfico de red utilizando Wireshark revela que todo el ejecutable remoto se transfiere durante el proceso de extracción de iconos, creando un terreno de puesta en escena para futuros ataques.
Si bien estos binarios no se ejecutan de inmediato, su presencia en el sistema de la víctima establece un punto de apoyo para la implementación de malware posterior, robo de credenciales o movimiento de red lateral.
Herramientas de monitoreo de procesos como Sysinternals Procmon confirma que los archivos se crean con asignación completa de tamaño binario, lo que indica la entrega completa de la carga útil.
Esta capacidad de doble amenaza hace que CVE-2025-50154 sea particularmente peligrosa, ya que combina exposición de credencial inmediata con una puesta en escena de carga sigilosa en una sola operación de clic cero.
El binario completo se transfiere sin hacer clic
Respuesta de Microsoft
Después de la divulgación responsable al Centro de Respuesta de Seguridad de Microsoft (MSRC), la vulnerabilidad se ha reconocido oficialmente y se le asignó su propio identificador CVE.
Se espera que Microsoft publique una actualización de seguridad integral para abordar la técnica de derivación por completo.
El descubrimiento subraya la complejidad de los protocolos de autenticación modernos y los desafíos en la implementación de mitigaciones de seguridad efectivas.
Los ataques de retransmisión de NTLM dirigidos a cuentas de alto privilegio pueden conducir a una escalada de privilegios, movimiento lateral y ejecución de código remoto en redes empresariales.
Las organizaciones que dependen únicamente del parche anterior de Microsoft para la protección siguen siendo vulnerables a esta sofisticada técnica de bypass.
Este incidente destaca la importancia crítica de las estrategias de defensa en profundidad y la validación continua de seguridad, incluso para las vulnerabilidades que los proveedores consideran completamente resueltos.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
