АНУ-ын Кибер аюулгүй байдал болон Дэд бүтцийн аюулгүй байдлын агентлаг (CISA) энэ пүрэв гарагт Microsoft Windows үйлдлийн системд нөлөөлж буй дунд түвшний ноцтой эмзэг байдлыг өөрийн "Идэвхтэй ашиглагдаж буй эмзэг байдлын жагсаалт (KEV)"-д нэмлээ. Энэ нь уг эмзэг байдал зэрлэг байгальд буюу жинхэнэ орчинд идэвхтэй ашиглагдаж эхэлсэнтэй холбоотой юм. Энэхүү эмзэг байдал нь CVE-2025-24054 дугаартай (CVSS оноо: 6.5) бөгөөд Microsoft өнгөрсөн сард Patch Tuesday шинэчлэлээр зассан. Энэ нь Windows-ийн NTLM (New Technology LAN Manager) нэвтрэх системийн файл нэр эсвэл замыг гаднаас удирдах боломжтой spoofing (хуурмаглал) төрлийн эмзэг байдал юм. Microsoft компани өнгөрсөн жил NTLM-г албан ёсоор хуучирсан хэмээн зарлаж, Kerberos протокол руу шилжихийг зөвлөсөн. Гэвч сүүлийн жилүүдэд кибер халдлага үйлдэгчид NTLM-г "pass-the-hash", "relay attack" зэрэг аргаар ашиглан нэвтрэх мэдээллийг олзлох олон арга хэрэглэж байна. CISA-гийн мэдээлснээр: "Microsoft Windows NTLM нь файл нэр эсвэл замыг гаднаас удирдах боломжтой эмзэг байдалтай бөгөөд энэ нь эрхгүй этгээдүүдэд сүлжээгээр дамжуулан spoofing хийх боломж олгодог." Microsoft гуравдугаар сард гаргасан мэдэгдэлдээ, энэ эмзэг байдал нь тусгайлан боловсруулсан .library-ms өргөтгөлтэй файл дээр ганцхан товших, хулганаар баруун товших, эсвэл нээхгүйгээр ямар нэгэн үйлдэл хийх үед идэвхэждэг гэж тайлбарласан. Энэ эмзэг байдлыг анх NTT Security Holdings-ийн Rintaro Koike, 0x6rss, j00sean нар илрүүлж, Microsoft-д мэдээлжээ. Хэдийгээр Microsoft уг эмзэг байдлыг "ашиглагдах магадлал багатай" гэж үнэлсэн ч 2025 оны 3-р сарын 19-өс хойш энэ нь идэвхтэй ашиглагдаж эхэлсэн гэж Check Point мэдээлжээ. Үүний үр дүнд халдагчид NTLM нууцлалын hash эсвэл хэрэглэгчийн нууц үгийг алдагдуулж, системд нэвтрэх боломжтой болсон байна. Check Point-ийн мэдээлснээр: "2025 оны 3-р сарын 20–21-ний хооронд Польш болон Румын улсын төрийн болон хувийн байгууллагуудыг чиглэсэн халдлага явагдсан. Халдагчид malspam ашиглан Dropbox холбоос бүхий архив тарааж, үүнд CVE-2025-24054 зэрэг хэд хэдэн эмзэг байдлыг ашиглаж, NTLMv2-SSP hash хураан авсан." Энэ эмзэг байдал нь өмнө нь 2024 оны 11-р сард засагдсан CVE-2024-43451 эмзэг байдлын шинэ хувилбар гэж үнэлэгдэж байгаа бөгөөд тус халдлагыг UAC-0194 болон Blind Eagle гэх хакерын бүлэглэлүүд Украин, Колумб улсад ашиглаж байсан байна. Check Point мөн дараах зүйлийг онцолсон: ZIP архив ашиглан тараагдсан файлуудыг Windows Explorer нээх үед хэрэглэгч ямар ч үйлдэл хийгээгүй байхад SMB нэвтрэх хүсэлт үүсэж, NTLM hash мэдээлэл алдагддаг. 2025 оны 3-р сарын 25-нд болсон фишинг халдлагаар "Info.doc.library-ms" нэртэй файл шахалтгүйгээр тараагдсан. Анхны давлагаанаас хойш 10 гаруй кампанит ажил уг эмзэг байдлыг ашиглан NTLM hash цуглуулах зорилготойгоор явагдсан байна. Check Point дараах сэрэмжлүүлгийг өгсөн: "Эдгээр халдлагууд .library-ms өргөтгөлтэй хортой файлуудыг ашиглаж NTLMv2 hash цуглуулж, сүлжээний доторх хөндлөн шилжилт болон эрх нэмэгдүүлэх (privilege escalation) эрсдэлийг нэмэгдүүлж байна." "Энэхүү эмзэг байдлын хурдан ашиглалт нь байгууллагууд яаралтай нөхөөс суулгах, NTLM-д холбоотой эмзэг байдлуудад анхаарал хандуулах шаардлагатайг тод харуулж байна. Энгийн ганцхан үйлдлээр (жишээ нь файл татах) халдагчид NTLM hash олж авч болдог нь үүнийг маш ноцтой аюул болгодог." АНУ-ын Холбооны иргэний гүйцэтгэх байгууллагууд (FCEB) 2025 оны 5-р сарын 8-ний дотор уг эмзэг байдлыг нөхөх шинэчлэлүүдийг суулгаж дуусгах шаардлагатай байна.