CVE-2024-43451

Versões do Microsoft Windows anteriores às atualizações de segurança de novembro de 2024

Trata-se de um problema de spoofing no protocolo New Technology LAN Manager (NTLM) que permite que invasores roubem hashes NTLMv2 com interação mínima do usuário. A vulnerabilidade, designada como CVE-2024-43451, foi ativamente explorada por um agente suspeito de ter ligações com a Rússia em ataques direcionados a entidades ucranianas. A exploração pode ocorrer por meio de uma simples interação do usuário com um arquivo malicioso, como um arquivo URL, e não requer necessariamente que o arquivo seja aberto. A vulnerabilidade foi explorada em campanhas envolvendo e-mails de phishing e arquivos .URL maliciosos, levando à implantação de malware como Spark RAT, AsyncRAT e Remcos RAT. Em alguns casos, a exploração foi observada mesmo antes do lançamento do patch, desencadeada por solicitações a servidores WebDAV. Aproximadamente 1.600 organizações na Colômbia foram afetadas por ataques que aproveitaram essa vulnerabilidade. O agente de ameaças, conhecido como Blind Eagle (APT-C-36), tem atacado ativamente organizações na Colômbia e no Equador desde 2018.

Aplique as atualizações de segurança de novembro de 2024 em todos os sistemas Windows afetados.