Microsoft ha publicado nuevas pautas para las organizaciones sobre cómo mitigar los ataques de retransmisión NTLM predeterminados, días después de que los investigadores informaran haber descubierto una divulgación de hash NTLM de día cero en todas las versiones de Windows Workstation y Server, desde Windows 7 hasta las versiones actuales de Windows 11.
Sin embargo, no quedó claro de inmediato si los dos acontecimientos estaban relacionados o si fue simplemente una coincidencia en términos de tiempo. De todos modos, no se espera que el error, que aún no tiene una puntuación CVE o CVSS, se solucione hasta dentro de meses.
Windows NTLM Zero-Day permite el robo de credenciales
Los investigadores de seguridad de ACROS informaron encontrar un error de día cero en todas las versiones compatibles de Windows. El error permite a un atacante robar las credenciales NTLM de un usuario simplemente engañando al usuario para que vea un archivo malicioso a través de la utilidad de administración de archivos del Explorador de Windows.
«Simplemente abrir una carpeta compartida o un disco USB que contenga dicho archivo o ver la carpeta de Descargas donde este archivo se descargó previamente automáticamente desde la página web del atacante» puede comprometer la información de identificación del usuario, Mitja Kolsek, CEO de ACROS Security. escribió en una publicación de blog.
ACROS dijo que no publicará ninguna información adicional sobre el error hasta que Microsoft encuentre una solución. Pero Kolsek le dice a Dark Reading que la capacidad de un atacante para explotar el error depende de una variedad de factores.
«No es fácil encontrar dónde se puede explotar el problema sin intentar explotarlo», explica. Microsoft ha calificado la vulnerabilidad como de gravedad moderada o «significativa», una designación que está un paso por debajo de los errores de gravedad «críticos». La compañía planea lanzar un parche en abril, dijo Kolsek.
En un comentario enviado por correo electrónico, un portavoz de Microsoft dijo que la compañía estaba «al tanto del informe y tomará las medidas necesarias para proteger a nuestros clientes».
Esta es la segunda filtración de credenciales NTLM Zero Day reportada por ACROS a Microsoft desde octubre. El precedente involucraba un Problema de suplantación de tema de Windows y permitió a los atacantes obligar a los dispositivos de las víctimas a enviar hashes de autenticación NTLM a los dispositivos controlados por el atacante. Microsoft aún no ha publicado una solución para este error.
Estos errores son parte de varios problemas relacionados con NTLM que han surgido en los últimos años, incluidos pequeño potamDFSCoerce, PrinterBug/SpoolSample y, recientemente, uno que afecta al motor de aplicación de políticas de código abierto.
Peligros del protocolo heredado
WindowsNTLM (NT LAN Manager) es un protocolo de autenticación heredado que Microsoft incluye en Windows moderno para compatibilidad con versiones anteriores. Los atacantes frecuentemente se han centrado en las debilidades del protocolo para interceptar solicitudes de autenticación y reenviarlas o «retransmitirlas» para obtener acceso a otros servidores o servicios a los que tienen acceso los usuarios originales.
En su aviso de esta semana, Microsoft describió la retransmisión NTLM como un «método de ataque popular utilizado por actores maliciosos que permite comprometer la identidad». Los ataques implican obligar a una víctima a autenticarse en un punto final controlado por el atacante y retransmitir la autenticación a un servidor o servicio de destino vulnerable. El aviso destaca las vulnerabilidades que los atacantes ya han utilizado, como CVE-2023-23397 en Outlook y CVE-2021-36942 en Windows LSA, para explotar un servicio que carece de protección contra ataques que transmiten NTLM.
En respuesta a tales ataques, Microsoft ha actualizado las instrucciones anteriores sobre cómo habilitar Protección extendida para la autenticación (EPA) de forma predeterminada en LDAP, AD CS y Exchange Server, dijo la compañía. El último Windows Server 2025 viene con EPA habilitado de forma predeterminada para AD CS y LDAP.
El aviso destaca la necesidad de que las organizaciones habiliten EPA específicamente para Exchange Server, dado el «papel único que desempeña Exchange Server en el panorama de amenazas NTLM». La empresa destacó CVE-2024-21413, CVE-2023-23397Y CVE-2023-36563 como ejemplos de vulnerabilidades recientes que los atacantes han aprovechado para coerción NTLM. «Los documentos de Office y los correos electrónicos enviados a través de Outlook son puntos de entrada eficaces para que los atacantes exploten las vulnerabilidades de coerción NTLM, dada su capacidad para incrustar enlaces UNC», afirma la empresa.
Kolsek dice que no está claro si el consejo de Microsoft para protegerse contra ataques NTLM tiene algo que ver con su reciente divulgación de errores. «[But] Si es posible, siga las recomendaciones de Microsoft para mitigar las vulnerabilidades relacionadas con NTLM”, afirma. «De lo contrario, considere 0patch», añade, refiriéndose a los microparches gratuitos que su empresa proporciona para las vulnerabilidades, especialmente en productos de software más antiguos y que ya no son compatibles.