Gli hacker sfruttano le vulnerabilità dell’autenticazione NTLM per colpire i sistemi Windows

Nonostante il passare degli anni, il protocollo NTLM rimane una minaccia persistente. Anche nel 2025, le sue vecchie vulnerabilità continuano a lasciare la porta spalancata agli hacker. L’autenticazione di Windows è nel mirino e questo sta seriamente sconvolgendo la sicurezza informatica aziendale.

Gli amministratori sanno che NTLM, quel vecchio ingranaggio, è sempre stato un punto debole. Anche se Microsoft ha annunciato la fine di questo protocollo, rimane radicato in milioni di sistemi. Una vera seccatura se si vede come gli hacker lo sfruttano oggi.

Quindi, come fanno queste vulnerabilità NTLM a trasformarsi in backdoor per infiltrarsi nelle reti?

Attacchi NTLM che non sono invecchiati di un giorno

Il protocollo New Technology LAN Manager, o NTLM, è stato progettato per autenticare client e server tramite un processo in tre fasi. Semplice, ma così fragile che, a distanza di appena 20 anni, è ancora pieno di falle. Gli hacker si stanno divertendo con diverse tecniche, tutte basate sulla debolezza di questo handshake. Una delle più insidiose è il furto di hash NTLM. Invece di cercare di recuperare la password in chiaro, riescono a estrarre questi hash crittografati. Un file dannoso, lanciato in modo incauto, e in un batter d’occhio, il sistema invia le informazioni necessarie a un server controllato dagli hacker.

Questo metodo, chiamato “hash leak”, non richiede nemmeno interazioni complesse. Un semplice clic o persino lo spostamento di un file sono sufficienti per innescare la fuga di dati. Inutile dire che questo rende la protezione molto più complessa!

Campagne di hacking che colpiscono duramente e lontano

Diverse recenti operazioni dannose dimostrano che queste vulnerabilità vengono sfruttate su larga scala. Prendiamo ad esempio CVE-2024-43451, che prende di mira Windows tramite file .url con trappole esplosive. Gruppi come BlindEagle e Head Mare l’hanno utilizzato per distribuire trojan in paesi come Colombia, Russia e Bielorussia.

E non è tutto. I bug recenti, CVE-2025-24054 e CVE-2025-24071, sfruttano gli archivi .zip e i relativi file .library-ms. Windows invia automaticamente le sue credenziali NTLM ai server controllati, aprendo la strada a malware come AveMaria, un vero incubo per le reti sensibili.

A questo si aggiunge CVE-2025-33073. Si tratta di un attacco particolarmente feroce: l’hacker manipola il DNS per presentare le richieste esterne come interne. Il risultato? Una rapida escalation al livello di SISTEMA, il Santo Graal per qualsiasi intruso. Un gioco di prestigio DNS che aggira tutte le normali protezioni.

Perché NTLM persiste nonostante tutto questo?

Microsoft prevede di interrompere i legami con NTLM a partire da Windows 11 versione 24H2 e Windows Server 2025. Ma cambiare un’infrastruttura non è qualcosa che avviene dall’oggi al domani, soprattutto in un ambiente aziendale. Applicazioni legacy e servizi di rete obsoleti sono ancora ovunque.

La transizione è un grattacapo che molti preferiscono rimandare. Questo, a sua volta, crea un varco per i criminali informatici. Ogni macchina non aggiornata diventa un potenziale bersaglio.

Il fatto è semplice: finché NTLM rimane al suo posto nelle reti, le falle di sicurezza verranno sfruttate. E le nuove generazioni di amministratori devono capire che l’installazione di una patch non risolverà il problema. È necessario un vero e proprio cambio di paradigma.

Attacchi man-in-the-middle a NTLM: un classico che persiste.

Per anni, i relay NTLM sono rimasti la tecnica più efficace per intercettare le credenziali. Un hacker si posiziona tra la macchina client e il server, catturando al volo la sessione di autenticazione. Senza essere scoperto, ottiene un accesso privilegiato.

E funziona ancora altrettanto bene. La sofisticazione degli attacchi è aumentata, ma il principio rimane lo stesso: sfruttare un protocollo obsoleto e scarsamente protetto. La storia ci insegna che questa vulnerabilità è ben lungi dall’essere risolta.

Come possiamo limitare i danni? Non esiste una soluzione magica: dobbiamo pianificare con urgenza la migrazione a Kerberos o ad altri meccanismi moderni. Aggiornare i sistemi e limitare il più possibile l’uso di file .url o archivi sospetti sono i primi passi essenziali. Non ha senso affrettarsi, ma dobbiamo andare avanti. Ignorare la vulnerabilità NTLM significa giocare col fuoco. Le aziende devono anche monitorare attentamente le connessioni WebDAV, spesso utilizzate per attacchi di hash leak.