Исследователи Лаборатории Касперского обратили внимание на осн | SecAtor
Исследователи Лаборатории Касперского обратили внимание на основные пробелы в безопасности NTLM в призме выявленных в 2025 году вредоносных кампаний и новых эксплуатируемых уязвимостей в старой технологии.
В качестве пролога к разбору актуальных связанных с NTLM угроз в ЛК вернулись в 2001 год, когда набирали популярность раскладушки, микромягкие анонсировали Windows XP, а Apple - iPod.
Пользователи только начали осваивать торренты, а Sir Dystic из Cult of the Dead Cow представил практическую реализацию атаки NTLM Relay в виде утилиты SMBRelay, продемонстрировав новый мощный класс эксплойтов для ретрансляции аутентификационных данных.
В общем, слабые места аутентификации через протокол NTLM были очевидны еще тогда.
В последующие годы ландшафт киберугроз пополнялся новыми уязвимостями и все более сложными методами атак.
NTLM является протоколом типа «запрос-ответ», предназначенным для проверки подлинности клиентов и серверов в средах Windows.
Он интегрирован в несколько прикладных протоколов, включая HTTP, MSSQL, SMB и SMTP. Для завершения процесса аутентификации используется трехэтапное рукопожатие между клиентом и сервером.
Microsoft пыталась справиться с проблемой, внедряя меры по снижению рисков и работая над преемником - протоколом Kerberos. И даже вовсе объявила о намерении отказаться от NTLM.
Однако на протяжении более двух десятилетий NTLM все еще остается частью современных ОС и используется в корпоративных сетях, устаревших приложениях и внутренних инфраструктурах, которые до сих пор полагаются на устаревшие механизмы аутентификации.
Учитывая, что NTLM все еще в строю, он остается удобной точкой входа для злоумышленников.
Его уязвимости хорошо изучены и задокументированы, он по-прежнему используется в системах на базе Windows и активно эксплуатируется в современных атаках.
Согласно недавним исследованиям, злоумышленники продолжают изобретать нестандартные способы эксплуатации NTLM в релейных и спуфинговых атаках, в том числе через новые уязвимости.
Более того, находят альтернативные векторы атак, специфичные для протокола.
Подробно описывать не будем, но отметим, что в отчете исследователи ЛК рассматривают эти векторы, раскрывая реальные кампании с описанием наиболее значимых CVE за год. Тут и:
- CVE-2024‑43451 с кампаниями BlindEagle по внедрению Remcos RAT и Head Mare против российских целей;
- CVE-2025-24054/CVE-2025-24071 с распространением троянца AveMaria в России;
- CVE-2025-33073 с выявленной активностью в системе одной из финансовых организаций Узбекистана.
Так что настоятельно рекомендуем ознакомиться.
