Una vulnerabilidad zero-day descubierta recientemente en Windows permite a los atacantes robar credenciales NTLM simplemente engañando a los usuarios para que vean un archivo malicioso en el Explorador de Windows. El fallo, identificado por el equipo 0patch, afecta a todas las versiones de Windows desde Windows 7 y Server 2008 R2 hasta Windows 11 24H2 y Server 2022, dejando a las organizaciones vulnerables a ataques basados en identidades. Aunque esta técnica es conocida desde hace años por pentesters y profesionales de la seguridad, su reciente revelación pública por el equipo 0patch pone de relieve la urgencia de que las organizaciones aborden los riesgos que plantean protocolos heredados como NTLM.
Comprensión de la vulnerabilidad Este zero-day aprovecha la forma en que Windows gestiona la autenticación NTLM. Requiere una interacción mínima por parte del usuario: basta con ver un archivo malicioso en el Explorador de archivos para activar el exploit. Esto puede ocurrir en varios escenarios, como acceder a una carpeta compartida, insertar una unidad USB o abrir la carpeta Descargas. Cuando se visualiza el archivo malicioso, el exploit obliga al sistema del usuario a iniciar una solicitud de autenticación NTLM a una ubicación remota. Esto envía hashes NTLM del usuario conectado, que los atacantes pueden descifrar para revelar la contraseña en texto plano del usuario. Estas credenciales robadas pueden utilizarse para escalar privilegios, moverse lateralmente o acceder a recursos sensibles.
Aunque los puntos débiles de NTLM se reconocen desde hace décadas, muchas organizaciones siguen confiando en él debido a su profunda integración con procesos críticos, lo que dificulta su sustitución inmediata. Esto subraya la necesidad de estrategias de mitigación proactivas y planes a largo plazo para la transición a protocolos de autenticación más seguros.
Falta de una solución oficial
A pesar de los importantes riesgos que plantea esta vulnerabilidad, aún no ha recibido una designación oficial de Vulnerabilidades y Exposiciones Comunes (CVE) ni una solución por parte de Microsoft. Se trata del tercer fallo zero-day revelado por el equipo de 0patch que Microsoft aún no ha solucionado, tras la desviación de "Mark of the Web" y una vulnerabilidad de Windows Themes notificada a principios de este año. Otros problemas relacionados con NTLM, como PetitPotam y PrinterBug, también siguen sin resolverse en las versiones actuales de Windows.
Por qué sigue siendo importante esta vulnerabilidad
Aunque las debilidades de NTLM están bien documentadas y su uso ha sido criticado durante décadas, muchas organizaciones siguen confiando en él. Esto se debe a menudo a la profunda integración del protocolo con procesos críticos, lo que hace que su sustitución sea compleja y lleve mucho tiempo. Sin embargo, a medida que los atacantes explotan cada vez más las vulnerabilidades heredadas, el coste de la inacción aumenta. Esta vulnerabilidad sirve como recordatorio de que incluso los fallos bien conocidos pueden seguir siendo peligrosos si no se abordan. Las organizaciones deben equilibrar el reto de sustituir los sistemas heredados con la necesidad urgente de proteger sus entornos. Aunque la sustitución inmediata de NTLM puede no ser factible, la adopción de soluciones avanzadas de detección y respuesta puede proporcionar una protección crítica contra el robo de credenciales y el movimiento lateral.
Cómo puede ayudar Vectra AI
Vectra AI proporciona una sólida protección contra las amenazas basadas en la identidad aprovechando Attack Signal Intelligence™ para detectar y detener los ataques basados en la identidad. La solución Identity Threat Detection and Response (ITDR) de Vectra AIAI está diseñada para identificar y detener los ataques basados en la identidad, incluidos los dirigidos a credenciales NTLM.
- Detección del abuso de credenciales: Vectra AI se centra en comprender cómo los atacantes utilizan las credenciales robadas para lograr sus objetivos, en lugar de centrarse únicamente en los métodos utilizados para robarlas. Este enfoque permite detectar diversas técnicas de abuso de credenciales, como Pass the Hash y Pass the Ticket, que se utilizan habitualmente tras obtener hashes NTLM.
- Supervisión de ataques basados en identidades: Nuestra plataforma proporciona una cobertura completa para los atacantes que se dirigen a credenciales y almacenes de identidades utilizando técnicas como Kerberoasting, DCSync y consultas LDAP fraudulentas. Mediante la supervisión continua de actividades sospechosas relacionadas con la identidad, Vectra AI puede alertar a los equipos de seguridad de posibles intentos de explotación.
- Attack Signal Intelligence: Vectra AI aprovecha Attack Signal Intelligence™ para distinguir entre actividades benignas y amenazas genuinas, centrándose en las señales que indican comportamientos reales de los atacantes. Al analizar cómo interactúan los atacantes con los sistemas, Vectra AI identifica los intentos de acceso no autorizado y las actividades de movimiento lateral derivadas de vulnerabilidades como el exploit NTLM, lo que ayuda a los equipos de seguridad a centrarse en lo más importante.
- Reducción de la fatiga por alertas: Al correlacionar la cobertura de identidades con la actividad más amplia de la red y la cloud , Vectra AI minimiza los falsos positivos, proporcionando claridad sobre los comportamientos reales de los atacantes y reduciendo la fatiga de las alertas para los analistas de seguridad.
Proteja su organización hoy mismo
¿Sigue confiando en protocolos heredados como NTLM? Ahora es el momento de proteger su organización. Descubra cómo Attack Signal Intelligence™ de Vectra AIAI puede ayudarle a detectar y detener amenazas como el robo de credenciales NTLM antes de que causen daños.
Solicite una demostración hoy mismo y descubra cómo Vectra AI refuerza su defensa frente a las ciberamenazas en constante evolución.