Sommario
Il 2025 segna una recrudescenza delle minacce informatiche che sfruttano protocolli legacy e comportamenti predefiniti nei sistemi Windows, in particolare legati all’autenticazione tramite NTLM. La vulnerabilità CVE-2025-24054, corretta da Microsoft nel bollettino di marzo, rappresenta un chiaro esempio di come una semplice interazione visiva con un file possa causare la divulgazione involontaria di credenziali. A poco più di una settimana dal rilascio della patch, l’exploit è già stato rilevato in attacchi reali che hanno colpito obiettivi in Europa dell’Est, segnalando una minaccia concreta e attivamente sfruttata.
La CVE in questione riguarda la gestione da parte di Windows Explorer dei file con estensione .library-ms, i quali, se configurati ad arte, possono innescare una connessione SMB verso un server remoto controllato da un attaccante, forzando l’invio automatico dell’hash NTLMv2 dell’utente. L’elemento di gravità risiede nella semplicità del meccanismo: non è necessario aprire il file, né eseguirlo. Basta navigare all’interno della cartella che lo contiene o visualizzarne l’anteprima perché si attivi la catena di compromissione.
La natura di NTLM e il suo ruolo nelle vulnerabilità moderne
NTLM (NT LAN Manager) è un protocollo di autenticazione proprietario Microsoft, introdotto negli anni ’90 per gestire l’autenticazione utente nei contesti LAN. Sebbene ormai soppiantato nei domini Active Directory da Kerberos, NTLM resta ampiamente utilizzato, in particolare nei seguenti scenari:
- Autenticazione su share SMB
- Login remoti su macchine legacy
- Applicazioni intranet o client-server sviluppate su framework pre-Windows 10
- Fallback in ambienti ibridi o dove Kerberos non è disponibile
La vulnerabilità principale di NTLM risiede nel fatto che l’hash delle credenziali viene trasmesso su rete quando viene richiesta un’autenticazione, anche in scenari apparentemente innocui come la risoluzione di un percorso UNC all’interno di un file o di un collegamento. Se un attaccante è in grado di forzare il sistema a contattare un endpoint malevolo, può raccogliere questi hash e sfruttarli per autenticarsi su altri sistemi, in un attacco noto come NTLM relay o pass-the-hash.
Microsoft ha da anni introdotto mitigazioni opzionali, come la firma SMB obbligatoria, l’autenticazione Extended Protection for Authentication (EPA) o la disabilitazione completa del protocollo NTLM. Tuttavia, molte aziende mantengono questi sistemi attivi per compatibilità con software storici o perché le migrazioni infrastrutturali sono ancora incomplete.
CVE-2025-24054: la semplicità dell’attivazione e il ritorno dei file .library-ms come vettore d’attacco
I file .library-ms sono dei file XML utilizzati da Windows per rappresentare raccolte virtuali di contenuti, come la libreria “Documenti” o “Immagini”. Essi contengono riferimenti a percorsi fisici, che possono includere directory locali, condivisioni SMB o percorsi UNC remoti. Quando Windows Explorer ne carica l’anteprima, tenta di risolvere immediatamente questi riferimenti, innescando connessioni automatiche.
CVE-2025-24054 sfrutta questo comportamento per includere UNC path puntati verso server SMB controllati da attaccanti, come \\attacker[.]com\share. L’anteprima attiva quindi una connessione SMB verso il dominio remoto, trasmettendo automaticamente le credenziali NTLMv2 dell’utente loggato, anche se non dispone di privilegi elevati. Le condizioni affinché questo avvenga sono presenti per impostazione predefinita in quasi tutte le installazioni Windows 10, 11 e Windows Server.
Check Point ha confermato che la CVE è un’evoluzione della precedente CVE-2024-43451, la quale sfruttava dinamiche simili ma in altri formati file come .url, .lnk e .website. Tuttavia, il file .library-ms si distingue per la sua capacità di attivarsi anche senza interazione diretta, rendendolo un vettore più pericoloso, silenzioso e difficile da rilevare.
Le campagne in corso: esfiltrazione massiva di hash e relay su infrastrutture non firmate
Le analisi di Check Point Threat Intelligence hanno evidenziato come l’exploit sia stato armato in tempi record. In meno di dieci giorni dalla pubblicazione della patch, sono state identificate campagne attive distribuite tramite archivi ZIP o link Dropbox, contenenti file .library-ms preconfigurati per l’esfiltrazione NTLM. Gli attacchi sono stati registrati in Polonia, Romania e nei Balcani, ma si sospetta che le stesse infrastrutture siano state testate su larga scala anche negli Stati Uniti.
Una volta in possesso dell’hash NTLMv2, gli attaccanti procedono con:
- Tentativi di autenticazione su altri sistemi interni, dove non è attiva la firma SMB o sono presenti account con lo stesso nome
- Attacchi relay in tempo reale, tramite tool come ntlmrelayx e Impacket, su server SQL, LDAP e SMB vulnerabili
- Attacchi offline, in cui l’hash viene sottoposto a cracking per ottenere la password reale dell’utente, specialmente se si tratta di password comuni o insufficientemente robuste
In molti ambienti Active Directory, la presenza di utenti locali con stessi nomi o password riciclate permette l’autenticazione non autorizzata in pochi secondi, specialmente se non sono implementati controlli di accesso basati su gruppi, restrizioni geografico-temporali o MFA interno.
L’intersezione tra vettori legacy e infrastrutture moderne
La minaccia rappresentata da CVE-2025-24054 va oltre la vulnerabilità tecnica. Mette in luce una falla strategica nella gestione della sicurezza moderna: l’eccessiva tolleranza per i protocolli obsoleti in nome della compatibilità. Molti ambienti ibridi, dove coesistono Windows Server 2012, Windows 10, SharePoint legacy e soluzioni ERP storiche, non possono disabilitare NTLM senza modifiche radicali.
Inoltre, anche quando la vulnerabilità è patchata, l’esistenza di altri formati file che attivano comportamenti simili (CVE-2024-43451) dimostra che il rischio è sistemico. La dipendenza dell’interfaccia utente da anteprime automatiche, pre-rendering e parsing anticipato dei file genera una superficie d’attacco invisibile all’utente, ma pienamente sfruttabile da un avversario esperto.
Le protezioni endpoint tradizionali non sempre rilevano queste attività, perché il file .library-ms non esegue codice e l’esplorazione della cartella non genera eventi considerati sospetti da molti antivirus. Solo l’analisi dei flussi SMB e la correlazione tra le richieste di autenticazione NTLM e l’origine delle connessioni può rivelare l’attività malevola.
Strategie difensive per contenere il rischio NTLM e bloccare vettori simili
A livello difensivo, le organizzazioni devono agire su più livelli per prevenire esfiltrazioni simili. Le principali misure includono:
- Disabilitazione del protocollo NTLM laddove possibile, iniziando da NTLMv1, il più debole, e riducendo la superficie di utilizzo di NTLMv2
- Applicazione obbligatoria della firma SMB, per impedire attacchi di tipo relay
- Implementazione di Group Policy Object (GPO) che bloccano l’apertura e l’anteprima dei file con estensione
.library-ms,.lnk,.urle.website - Monitoraggio dei flussi di autenticazione via SMB, correlando richieste anomale con processi utente
- Virtualizzazione o isolamento sandbox dei file ricevuti via email o scaricati da fonti esterne
Microsoft offre strumenti per diagnosticare l’uso residuo di NTLM nel dominio (NTLM Audit Mode) e per identificare quali applicazioni legacy ancora lo richiedono. Il percorso di dismissione deve essere progressivo ma deciso, perché le vulnerabilità continueranno a emergere fintanto che i protocolli resteranno attivi.
Una falla invisibile che dimostra quanto il comportamento del sistema conti quanto il codice
CVE-2025-24054 dimostra come la sicurezza informatica non sia solo una questione di codice vulnerabile, ma anche di comportamenti sistemici del sistema operativo. La dinamica dell’attacco si basa su interazioni automatiche, protocolli legacy e fiducia implicita tra processi locali e risorse remote.
La semplicità con cui l’exploit può essere armato e il suo attuale sfruttamento in-the-wild richiedono un cambio di mentalità: non basta applicare le patch. Serve una strategia di hardening, basata su isolamento, verifica esplicita e disabilitazione attiva delle funzioni non più sicure.
