un nuevo vulnerabilidad de día cero en NTLM descubierto por los investigadores de 0patch permite a los atacantes robar credenciales NTLM pidiendo al usuario que vea un archivo malicioso especialmente diseñado en el Explorador de Windows; el usuario no necesita abrir el archivo. Estos hash de contraseña se pueden utilizar para ataques de retransmisión de autenticación o para ataques de diccionario a la contraseña, en ambos casos para verificación de identidad.
NTLM se refiere a un conjunto de protocolos de autenticación heredados de Microsoft que brindan autenticación, integridad y privacidad al usuario. Mientras NTLM era oficialmente obsoleto en junio, nuestra investigación muestra que 64% de las cuentas de usuario de Active Directory autenticarse regularmente contra NTLM: prueba de que NTLM todavía se usa ampliamente a pesar de sus debilidades conocidas.
La falla es explotable incluso en entornos que utilizan NTLM v2, lo que la convierte en un riesgo significativo para las empresas que aún no han migrado a Kerberos y aún dependen de NTLM. Dado que es posible que Microsoft no solucione este problema por un tiempoLos defensores de las empresas deben tomar medidas para mitigar la vulnerabilidad de sus entornos. Este consejo técnico describe cómo las políticas de acceso dinámico, algunos pasos de refuerzo y la autenticación multifactor (MFA) pueden ayudar a limitar los intentos de explotar esta vulnerabilidad. Actualizar el protocolo, siempre que sea posible, podría eliminar completamente el problema.
¿Cuál es la vulnerabilidad NTLM?
Cuando un usuario ve un archivo malicioso en el Explorador de Windows (ya sea accediendo a una carpeta compartida, insertando una unidad USB que contiene el archivo malicioso o simplemente viendo un archivo en la carpeta Descargas que se descargó automáticamente desde una página web maliciosa), un mensaje saliente Mensaje NTLM: se activa la conexión. Esto hace que Windows envíe automáticamente los hashes NTLM del usuario actualmente conectado a un recurso compartido controlado por un atacante remoto.
Estos hashes NTLM pueden luego interceptarse y usarse para ataques de retransmisión de autenticación o incluso ataques de diccionario, otorgando a los atacantes acceso no autorizado a sistemas confidenciales. Los atacantes también pueden utilizar las contraseñas expuestas para acceder al entorno de software como servicio (SaaS) de la organización debido a la alta tasa de usuarios sincronizados.
El problema afecta a todas las versiones de Windows desde Windows 7 y Server 2008 R2 hasta las últimas versiones de Windows 11 24H2 y Server 2022.
El problema fundamental de NTLM radica en su diseño de protocolo obsoleto. NTLM transmite hashes de contraseñas en lugar de verificar contraseñas en texto sin formato, lo que las hace vulnerables a la interceptación y explotación. Incluso con NTLM v2, que utiliza un cifrado más fuerte, los atacantes aún pueden capturar y transmitir hashes. La dependencia de NTLM de prácticas criptográficas débiles y la falta de protección contra ataques de retransmisión son debilidades clave que lo hacen altamente explotable. Además, la autenticación NTLM no admite funciones de seguridad modernas, como MFA, lo que deja los sistemas abiertos a diversas técnicas de robo de credenciales, como el reenvío de hash y la retransmisión de hash.
¿Qué deben hacer los defensores?
Para mitigar esta vulnerabilidad, Microsoft ha actualizado las instrucciones anteriores sobre cómo habilitar la protección extendida para la autenticación (EPA) en LDAP, Servicios de certificados de Active Directory (AD CS), y Servidor de intercambio. En Windows Server 2022 y 2019, los administradores pueden habilitar manualmente EPA para AD CS y el enlace de canales para LDAP. Hay scripts proporcionados por Microsoft para habilitar EPA manualmente en Exchange Server 2016. Si es posible, actualice a la última versión de Windows Server 2025, ya que viene con EPA y enlace de canales habilitados de forma predeterminada para AD CS y LDAP.
Es posible que algunas organizaciones aún dependan de NTLM debido a sistemas heredados. Estos equipos deberían considerar capas adicionales de autenticación, como políticas dinámicas basadas en riesgos, para proteger los sistemas NTLM heredados existentes de la explotación.
Reforzar las configuraciones LDAP. Configure LDAP para aplicar la vinculación de canales y monitorear los clientes existentes que pueden no admitir estas configuraciones.
Compruebe el impacto en SaaS. Si no está seguro de si hay aplicaciones o clientes en su entorno que dependen de NTLMv2, puede usar la Política de grupo para habilitar la opción Seguridad de red: Restringir NTLM: Auditar el tráfico NTLM entrante marco político. Esto no bloqueará el tráfico NTLMv2 pero registrará todos los intentos de autenticación utilizando NTLMv2 en el registro de operaciones. Al analizar estos registros, puede identificar aplicaciones cliente, servidores o servicios que aún dependen de NTLMv2, para poder realizar ajustes o actualizaciones específicas.
Uso de la política de grupo para limitar o deshabilitar la autenticación NTLM a través de Seguridad de red: restringir NTLM Esta configuración reducirá el riesgo de que se produzcan escenarios alternativos en los que NTLM se utilice de forma involuntaria.
Supervise el tráfico de las PYMES. Habilitar la firma y el cifrado SMB puede ayudar a evitar que los atacantes se hagan pasar por servidores legítimos y activen la autenticación NTLM. Bloquear el tráfico saliente de SMB a redes que no son de confianza también reducirá el riesgo de que las credenciales NTLM se filtren a servidores maliciosos. Implemente monitoreo de red y alertas para patrones de tráfico inusuales para PYMES, especialmente solicitudes salientes a direcciones IP desconocidas o que no son de confianza.
Deje atrás NTLM. NTLM está en desuso. Los administradores deben auditar el uso de NTLM para identificar sistemas que todavía dependen de NTLM. Las organizaciones deberían priorizar la transición de estos sistemas de NTLM a protocolos de autenticación más modernos, como Kerberos. Una vez que exista un protocolo más moderno, implemente MFA para agregar una capa adicional de protección.
Tomar estos pasos ayudará a las organizaciones a abordar fallas fundamentales en NTLM y mejorar su postura de seguridad.