Wykorzystali lukę Windows do ataku na Polskę. Microsoft twierdził, że to błahostka

1 marca, w ramach tradycyjnego „Patch Tuesday”, Microsoft opublikował zbiór poprawek bezpieczeństwa, wśród których znalazła się m.in. łatka dla luki CVE-2025-24054. Zaledwie osiem dni później, cyberprzestępcy rozpoczęli szeroko zakrojoną kampanię wymierzoną w sektor publiczny i prywatny w Polsce i Rumunii — wykorzystując właśnie tę świeżo załataną podatność.

CVE-2025-24054 to luka w systemach Windows, którą Microsoft ocenił jako „mało prawdopodobną do wykorzystania”. Jednak — jak pokazuje rzeczywistość — hakerzy zareagowali błyskawicznie. Według zespołu badawczego Check Point, luka została wykorzystana do stworzenia złośliwego oprogramowania zdolnego do wycieku skrótów haseł NTLMv2 przez sieć.

Przestępcy używali tych skrótów do przeprowadzania ataków relay lub pass-the-hash, podszywając się pod użytkowników w celu uzyskania nieautoryzowanego dostępu do zasobów i systemów.

Plik-pułapka w formacie .library-ms

Początkowa fala ataków rozpoczęła się od wiadomości phishingowych zawierających linki do zainfekowanego archiwum ZIP hostowanego na Dropboxie. Plik o nazwie xd.zip zawierał cztery fałszywe dokumenty, w tym jeden w formacie .library-ms, który aktywował podatność CVE-2025-24054.

Wystarczyło samo rozpakowanie pliku lub — co gorsza — jedynie otwarcie folderu w Eksploratorze Windows, aby uruchomiona została próba uwierzytelnienia za pomocą protokołu SMB. Hashe NTLMv2 ofiary były natychmiast przesyłane na zdalny serwer kontrolowany przez atakujących.

Podejrzenia o powiązania z Fancy Bear

Check Point zidentyfikował, że dane uwierzytelniające były przesyłane na adres IP 159.196.128[.]120, wcześniej powiązany przez firmę HarfangLab z rosyjską grupą hakerską APT28 (Fancy Bear) – znaną z działań sponsorowanych przez rosyjskie służby specjalne. Choć nie ma twardych dowodów na bezpośrednie zaangażowanie Fancy Bear w tę kampanię, powiązania budzą poważne obawy co do skali i charakteru operacji.

Kampania nabiera tempa. Ataki stają się globalne

Do 25 marca atakujący zmodyfikowali swoje metody — przestali polegać wyłącznie na archiwach ZIP, a zamiast tego zaczęli przesyłać pliki .library-ms bezpośrednio w załącznikach e-mail. Według Microsoftu, wystarczy pojedyncze kliknięcie lub nawet tylko zaznaczenie pliku, aby rozpocząć proces wycieku danych.

W ciągu kilku tygodni badacze zidentyfikowali co najmniej 10 odrębnych kampanii, prowadzonych w różnych krajach i skierowanych na zdobycie danych logowania. Serwery odbierające skradzione dane zlokalizowane były m.in. w Rosji, Bułgarii, Holandii, Australii i Turcji.

– „Ta błyskawiczna eksploatacja podkreśla, jak pilne jest natychmiastowe wdrażanie poprawek przez wszystkie organizacje” – alarmują specjaliści z Check Point. – „Zwłaszcza że luka wymaga minimalnej interakcji użytkownika, co czyni ją szczególnie niebezpieczną w kontekście ataków typu pass-the-hash”.

W odpowiedzi na incydent, Microsoft przypomina o konieczności dezaktywacji przestarzałych mechanizmów uwierzytelniania opartych o NTLM w środowiskach produkcyjnych. Firma zapowiedziała również wzmocnienie detekcji i narzędzi ochronnych w nadchodzących aktualizacjach.

Choć poprawka została wydana 1 marca, wielu administratorów systemów IT wciąż nie wdrożyło jej w swoich środowiskach. Brak odpowiednich procedur zarządzania aktualizacjami oraz niedobory kadrowe w działach cyberbezpieczeństwa sprawiają, że nawet „niskiego ryzyka” luki mogą być bronią masowego rażenia w rękach dobrze zorganizowanych grup hakerskich.

Wspomniana kampania pokazuje także, że nawet przy błyskawicznej reakcji producenta, okno podatności — tzw. czas między publikacją poprawki a jej wdrożeniem — pozostaje piętą achillesową cyberbezpieczeństwa XXI wieku.