Source : Cymulate (blog) — Dans un billet signé Ruben Enkaoua (12 août 2025), Cymulate Research Labs détaille CVE-2025-50154, une vulnérabilité zero‑click de fuite d’identifiants NTLM qui contourne le correctif Microsoft de CVE-2025-24054 et affecte des systèmes entièrement patchés.

• Découverte et portée. La nouvelle faille CVE-2025-50154 permet de déclencher une authentification NTLM sans interaction utilisateur et d’extraire des empreintes NTLMv2 sur des machines à jour. Le chercheur montre qu’en exploitant un angle mort du correctif d’avril, un attaquant peut provoquer des requêtes NTLM automatiques et s’en servir pour du craquage hors‑ligne ou des attaques par relais (NTLM relay), ouvrant la voie à élévation de privilèges, mouvements latéraux et potentielle RCE.

• Mécanisme de contournement. Le correctif initial bloquait le rendu d’icônes de raccourcis (.LNK) pointant vers des chemins UNC. Cymulate montre qu’en configurant un raccourci .LNK avec une icône locale par défaut (shell32.dll) et en plaçant la cible (TargetPath) sur un exécutable distant via SMB (UNC), explorer.exe télécharge automatiquement le binaire distant pour en extraire l’icône depuis la section .rsrc (RT_ICON/RT_GROUP_ICON). Ce comportement déclenche le handshake NTLM et transfère l’intégralité du binaire — le tout sans clic.

• Impact opérationnel. Bien que le fichier téléchargé ne soit pas exécuté immédiatement, il est déposé silencieusement sur le système, ce qui facilite un pré‑positionnement de charges malveillantes. La combinaison fuite d’empreintes NTLM + staging de binaire accroît notablement la surface d’attaque et permet des chaînes d’exploitation plus puissantes.

• Divulgation et correctif à venir. Les travaux ont été divulgués de manière responsable au MSRC, la vulnérabilité a reçu l’identifiant CVE-2025-50154, et un nouveau correctif est attendu pour traiter pleinement l’issue.

• IOCs et TTPs observés/illustrés:

  • IOCs (illustratifs du labo) : IP privée SMB \192.168.159.129, noms de fichiers « lab.lnk », « execute.exe », protocole SMB/UNC, empreintes NTLMv2-SSP.
  • TTPs : Abus de raccourcis .LNK pointant vers un binaire UNC, rendu d’icône par explorer.exe via extraction .rsrc, déclenchement NTLM zero‑click, téléchargement automatique du binaire, écoute SMB, analyse réseau (Wireshark) et système (Procmon), NTLM relay et craquage hors‑ligne des empreintes.

Type d’article et objectif : publication technique de recherche/rapport de vulnérabilité décrivant un contournement de correctif et son impact.

🧠 TTPs et IOCs détectés

TTP

Abus de raccourcis .LNK pointant vers un binaire UNC, rendu d’icône par explorer.exe via extraction .rsrc, déclenchement NTLM zero-click, téléchargement automatique du binaire, écoute SMB, NTLM relay, craquage hors-ligne des empreintes

IOC

noms de fichiers « lab.lnk », « execute.exe », protocole SMB/UNC, empreintes NTLMv2-SSP

🔗 Source originale : https://cymulate.com/blog/zero-click-one-ntlm-microsoft-security-patch-bypass-cve-2025-50154/