¡Alerta! Ataques NTLM para robar credenciales: Microsoft advierte a los controladores de dominio de Windows

Microsoft está sonando una alerta sobre una amenaza contra los controladores de dominio de Windows que permitiría a los atacantes capturar credenciales y certificados de NTLM (NT LAN Manager). En un aviso publicado el pasado viernes, la compañía advirtió sobre un ataque llamado PetitPotam, que podría ser utilizado contra controladores de dominio de Windows y otros servidores de Windows.

Índice de Contenido
  1. Descubriendo la amenaza PetitPotam
  2. Los riesgos de los ataques de retransmisión de NTLM
  3. Medidas recomendadas por Microsoft

Descubriendo la amenaza PetitPotam

Descubierto y probado por un investigador francés llamado Gilles Lionel (conocido en Twitter como @topotam), según el sitio de noticias tecnológicas The Record, PetitPotam explota un agujero de seguridad en Windows mediante el cual un atacante puede forzar a un servidor de Windows a compartir detalles de autenticación y certificados de NTLM.

Denominado por Microsoft como un clásico ataque de retransmisión de NTLM, el proceso funciona abusando de un protocolo de Windows conocido como MS-EFSRPC, que permite a las computadoras trabajar con datos cifrados en sistemas remotos, según The Record.

Al enviar solicitudes de Server Message Block (SMB) a la interfaz MS-EFSRPC de un sistema remoto, un atacante puede engañar al servidor objetivo para que comparta detalles de autenticación de credenciales. A partir de ahí, el atacante puede desencadenar un ataque de retransmisión de NTLM para obtener acceso a otras computadoras en la misma red.

Los riesgos de los ataques de retransmisión de NTLM

Como se describió anteriormente en un documento de soporte de Microsoft de 2009, los ataques de retransmisión de NTLM han existido durante varios años. Estos ataques aprovechan las vulnerabilidades de seguridad en NTLM como método de autenticación. Aunque Microsoft ha estado instando a los clientes a desechar NTLM debido a sus fallas, muchas organizaciones aún lo utilizan, al menos para aplicaciones heredadas, lo que lleva a la compañía a seguir parcheando cada agujero a medida que aparece.

Medidas recomendadas por Microsoft

La mayoría de las versiones del servidor de Windows se ven afectadas por esta falla, incluyendo las versiones 2005, 2008, 2008 R2, 2012, 2012 R2, 2016 y 2019. En un documento de soporte, Microsoft explicó que su organización es potencialmente vulnerable a PetitPotam si la autenticación NTLM está habilitada en su dominio y utiliza Active Directory Certificate Services (AD CS) con Certificate Authority Web Enrollment o Certificate Enrollment Web Service. Si se encuentra en esa categoría, Microsoft ofrece algunas recomendaciones.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

La solución preferida es deshabilitar la autenticación NTLM en su dominio de Windows, un proceso que puede implementar siguiendo los pasos descritos en esta página de seguridad de red de Microsoft.

Si no puede deshabilitar NTLM en su dominio debido a problemas de compatibilidad, Microsoft sugiere deshabilitarlo en cualquier servidor AD CS de su dominio, lo cual puede hacer a través de Group Policy. Si es necesario, se pueden agregar excepciones a esta política. Alternativamente, deshabilite NTLM para Internet Information Services (IIS) en los servidores AD CS de su dominio que ejecutan los servicios de Certificate Authority Web Enrollment o Certificate Enrollment Web Service.

"Para prevenir Ataques de Retransmisión de NTLM en redes con NTLM habilitado, los administradores de dominio deben asegurarse de que los servicios que permiten la autenticación NTLM utilicen protecciones como Extended Protection for Authentication (EPA) o características de firma como SMB signing," dijo Microsoft. "PetitPotam aprovecha los servidores en los que Active Directory Certificate Services no está configurado con protecciones para Ataques de Retransmisión de NTLM".

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a ¡Alerta! Ataques NTLM para robar credenciales: Microsoft advierte a los controladores de dominio de Windows , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.