Новые схемы эксплуатации NTLM привели к резкому росту атак в 2025 году

Устаревший NTLM остается точкой входа для атакующих

NTLM — это старый протокол аутентификации Windows, основанный на схеме «вызов-ответ». Он до сих пор используется в корпоративных сетях и приложениях ради совместимости, хотя Microsoft уже начала его поэтапное отключение.

Протокол продолжает оставаться удобным вектором атак: злоумышленники используют отсутствие привязки каналов, слабую взаимную аутентификацию и возможности пересылки хешей. Как отмечается в отчете «Лаборатории Касперского», зависимость инфраструктур от NTLM по-прежнему высока, что и объясняет рост инцидентов в 2025 году.

Основные техники, лежащие в основе современных атак. В кампаниях последних лет активно применяются утечки NTLM-хешей при взаимодействии с подготовленными файлами, атаки принуждения к аутентификации (coercion), пересылка учетных данных и атаки типа «человек посередине». Эксперты отмечают, что отсутствие современных защитных механизмов делает такие схемы возможными даже при минимальном участии пользователя, что подробно описано в исследовании.

Новые уязвимости, эксплуатируемые в 2024–2025

В отчете «Лаборатории Касперского» выделяется несколько уязвимостей и приемов, которые в 2024–2025 годах стали основой наиболее заметных атак на NTLM-аутентификацию. Ниже приведены ключевые из них.

CVE-2024-43451: утечка NTLMv2-хешей и автоматическая загрузка вредоносных файлов. Уязвимость в MSHTML позволяет инициировать NTLM-аутентификацию на сервер злоумышленников при простейших действиях с URL-файлом — выделении, перемещении или удалении. В ряде случаев используется WebDAV — расширение HTTP, позволяющее работать с файлами на удаленном сервере как с обычным сетевым ресурсом. Это приводит к автоматической загрузке и выполнению файлов. Аналитики зафиксировали более 600 вредоносных URL-файлов, связанных с этим сценарием.

Кампании BlindEagle. APT-группа BlindEagle использовала URL-файлы в роли дропперов Remcos RAT: такие файлы представляют собой ярлык со ссылкой на удаленный сервер, и при любом взаимодействии с ними Windows автоматически подключается к ресурсу злоумышленников. Это подключение по WebDAV — способу удаленного доступа к файлам — приводило к утечке NTLM-хешей и последующей загрузке модифицированных версий Remcos RAT. Всего исследователи выявили свыше 60 подобных файлов, рассылка которых велась от имени госструктур Колумбии.

Кампания Head Mare против российских организаций. Хактивистская группа Head Mare рассылала ZIP-архивы, внутри которых находились URL-файлы — небольшие ярлыки со ссылкой на удаленный ресурс. При открытии таких файлов система автоматически пыталась подключиться к серверу злоумышленников по протоколу SMB (обычный механизм обмена файлами в Windows). По данным телеметрии, рассылка затронула более 100 адресатов в промышленном, образовательном и государственном секторах. В ряде случаев фиксировалось распространение PhantomCore и эксплуатация других известных уязвимостей, включая CVE-2023-38831 в WinRAR

CVE-2025-24054 / 24071: утечка хешей через .library-ms. Файлы .library-ms инициируют NTLM-аутентификацию при предпросмотре, что делает их удобным инструментом для перехвата хешей. В исследовании описаны кампании, где злоумышленники маскировали такие файлы под документы в ZIP-архивах, чтобы заставить пользователя открыть или просмотреть вложение.

Распространение троянца AveMaria в России. В рассылках с темой «акт_выполненных_работ_апрель» злоумышленники отправляли ZIP-архивы с вложенными файлами .library-ms. Такие файлы выглядят как документы, но на самом деле автоматически подключаются к удаленному серверу по адресу 185.227.82.72, как только пользователь их открывает или просматривает. После подключения на компьютер загружались варианты троянца AveMaria (Warzone) RAT, который позволяет злоумышленникам управлять системой, записывать нажатия клавиш и похищать файлы.

CVE-2025-33073: повышение привилегий через NTLM Reflection. Ошибка в механизме определения типа SMB-подключения позволяет выдать внешний ресурс за локальный и получить токен SYSTEM. Такой обход проверки NTLM приводит к тому, что Windows воспринимает подключение как доверенное и дает возможность выполнить код с максимальными правами.

Инцидент в финансовой организации Узбекистана. В сетевом трафике жертвы были замечены признаки подключения к IPC$ — служебному ресурсу Windows, который используется для удаленного управления и обмена системными данными. Одновременно фиксировалось поддельное имя хоста, из-за которого система воспринимала внешнее обращение как локальное. Получив таким образом права SYSTEM, злоумышленник пытался выгрузить содержимое процесса LSASS — компонента Windows, где хранятся учетные данные — используя стандартные утилиты, временные DLL и PowerShell-скрипты.

Защитные меры: что рекомендуется организациям

• Ограничение или отказ от NTLM. Сокращение числа систем, зависящих от NTLM, уменьшает поверхность атаки. Перед отключением требуется аудит зависимостей и поэтапный переход на современные методы аутентификации.
• Включение цифровой подписи SMB/LDAP. Подписание сообщений делает невозможной релейную трансляцию трафика аутентификации.
• Использование Extended Protection for Authentication (EPA). EPA добавляет дополнительную проверку, которая «привязывает» процесс входа к защищенному соединению (например, HTTPS). Благодаря этому перехваченный NTLM-хеш нельзя подставить повторно в другом месте — система его просто не примет.
• Мониторинг NTLM-трафика. Анализ логов и аномальных обращений помогает своевременно обнаруживать попытки эксплуатации уязвимостей.

В отчете отмечается, что, несмотря на планы Microsoft по отказу от NTLM, протокол остается широко распространенным в корпоративных средах. По данным исследования, недавно выявленные уязвимости позволяют автоматизировать утечки хешей, запускать загрузку вредоносных файлов и получать привилегии SYSTEM при минимальном участии пользователя. Аналитики подчеркивают, что злоумышленники активно расширяют набор техник, и NTLM продолжает быть одним из наиболее уязвимых элементов инфраструктуры.

С полной версией отчета можно ознакомиться по ссылке.