Vulnerabilidad en Windows NTLM
Todos los días se descubren nuevas vulnerabilidades en sistemas operativos, aplicaciones, servicios, etc., por lo que es necesario estar al pendiente de estas, ya que se sabe que los atacantes las utilizan para afectar a sus víctimas.
Se ha detectado una nueva vulnerabilidad de día cero que afecta a todas las versiones de Windows Workstations, comenzando por la versión Windows 7 hasta la versión Windows 11 v24H2. También impacta a Windows Server, desde la versión Windows Server 2008 R2 hasta la última versión, Server 2022.
La vulnerabilidad radica en los hashes de NTLM, los cuales pueden ser obtenidos simplemente con que un usuario visualice un archivo malicioso en el Explorador de Archivos. Esto la convierte en una vulnerabilidad muy peligrosa, ya que no es necesario que el usuario abra, ejecute o interactúe directamente con el archivo malicioso.
El equipo que descubrió la vulnerabilidad ha indicado que mantendrá los detalles en secreto hasta que Microsoft haga un anuncio oficial o tome medidas al respecto. Sin embargo, hay algunos aspectos claros sobre su funcionamiento. Por ejemplo, al visualizar el archivo malicioso, este fuerza una conexión hacia un host remoto mediante NTLM, lo que provoca que se compartan los hashes del usuario autenticado, los cuales pueden ser robados por un atacante. Una vez obtenidos dichos hashes, el atacante puede "crackearlos" para extraer los nombres de usuario y sus contraseñas en texto plano.
Por el momento, no existe un parche oficial para mitigar esta vulnerabilidad. No obstante, el equipo que la descubrió (0patch) ha publicado parches temporales que pueden mitigarla hasta que Microsoft lance una actualización oficial. Estos parches están disponibles de manera gratuita para quienes cuenten con el agente 0patch en su versión PRO o Enterprise. Fuera de esto, no existe algún "workaround" u otra forma de mitigar la vulnerabilidad, excepto desactivar la autenticación por NTLM mediante una política de grupo. Para hacerlo, el procedimiento es el siguiente:
Security Settings > Local Policies > Security Options.
Una vez dentro, se debe restringir NTLM cambiando la opción “Network security: Restrict NTLM”.
Recomendaciones
- Desactivar NTLM en caso de no utilizarse y que no se sufra alguna afectación por desactivarlo, siguiendo los pasos Security Settings > Local Policies > Security Options, “Network security: Restrict NTLM”
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto. (NIST CSF, 2024)
- Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactor.
Referencias
- Toulas, B. (2024. Diciembre 6) New Windows zero-day exposes NTLM credentials, gets unofficial patch. Recuperado el 13 de diciembre del 2024 en: https://www.cyjax.com/resources/blog/take-me-down-to-funksec-town-funksec-ransomware-dls-emergence/
- Kolsek, M. (2024. Diciembre 6) URL File NTLM Hash Disclosure Vulnerability (0day) - and Free Micropatches for it. Recuperado el 13 de diciembre del 2024 en: https://blog.0patch.com/2024/12/url-file-ntlm-hash-disclosure.html
