Microsoft recientemente anunció la desaprobación del protocolo NTLM para el cliente Windows. Esto coincide con el estímulo de Microsoft para alejarse de NTLM debido a los riesgos de seguridad que introduce, y actúa como una llamada de atención de que mantener el uso de NTLM pone los entornos en alto riesgo.
No podemos pasar por alto el sorprendente parecido entre la situación actual NTLM desuso y el fin de vida de Windows XP hace una década. En ambos casos, Microsoft dejó de soportar una infraestructura heredada, aunque extremadamente común, que expone a sus usuarios a riesgos críticos. En el caso de XP, el riesgo era la ejecución remota de código malicioso; con NTLM es acceso de credenciales y subsecuente movimiento lateral más antigua y la ransomware propagarse.
Este blog proporciona un resumen de las posibles amenazas a la identidad que NTLM presenta a las organizaciones hoy en día y describe un plan de mitigación para garantizar que su entorno siga siendo resiliente.
¿Sabías que NTLM está vivo y coleando?
Si bien es de conocimiento común que NTLM es "inseguro", todavía se usa mucho en entornos de producción. El Informe subterráneo de identidad, publicado en marzo de 2024, reveló que un Una proporción alarmante de usuarios, administradores y cuentas de servicio todavía utilizan NTLM para acceder a los recursos.:
64% de cuentas de usuario Utilice NTLM con regularidad para acceder a los recursos.
El 37% de los usuarios administradores utilizan regularmente NTLM para acceder a los recursos.
46% de cuentas de servicio Utilice NTLM con regularidad para acceder a los recursos.
¿Sabía que NTLM puede permitir la propagación masiva de ransomware?
Pero, ¿cuál es el riesgo real del uso elevado de NTLM?
Los problemas de seguridad de NTLM surgen de la forma en que utiliza hashes en lugar de contraseñas. Esto elimina el envío de la contraseña en texto claro por cable, lo cual es bueno. Sin embargo, los atacantes pueden abusar de este mecanismo y utilizar el propio hash NTLM como equivalente de contraseña para el acceso a recursos maliciosos.
Mapeemos este abuso de NTLM a MITRA Terminología del marco ATT&CK:
- Acceso a credenciales: los atacantes pueden emplear una amplia gama de herramientas disponibles para extraer el NTLM ya sea de su almacenamiento en la memoria de las máquinas o mientras atraviesa la red entre máquinas.
- Movimiento lateral: tras el compromiso del hash, los atacantes pueden utilizar el hash mismo o descifrarlo sin conexión para obtener la contraseña en texto sin cifrar. En el primer caso, utilizarían técnicas como Pass-the-Hash o retransmisión NTLM. En este último caso, simplemente utilizarían contraseñas recién obtenidas para acceso malicioso.
La combinación de los acceso de credenciales y el movimiento lateral es el factor X detrás de todos los ataques de ransomware de alto perfil que las organizaciones han experimentado en los últimos años.
El conocimiento es poder: haga las siguientes preguntas para comprender y resolver su exposición al riesgo NTLM
Obtenga información sobre las capacidades de mitigación y exposición a NTLM de su entorno preguntando a su seguridad de identidad equipo las siguientes preguntas:
¿Tenemos visibilidad del uso real de NTLM en nuestro entorno?
Esta pregunta se centra en el alcance de su exposición a NTLM en todos los usuarios, administradores, cuentas de servicio y los recursos donde se utiliza NTLM. La respuesta debe cuantificarse como un porcentaje, como el que mostramos arriba.
¿Podemos limitar el uso de NTLM a donde está? absolutely ¿necesario?
El siguiente paso es ver qué puede hacer para minimizar el uso de NTLM. La respuesta a esta pregunta debería mostrar la parte de su uso de NTLM que no se puede eliminar (las aplicaciones heredadas son el ejemplo más común) y la parte que se podría eliminar sin ninguna interrupción operativa.
¿Podemos bloquear el movimiento lateral facilitado por NTLM en tiempo real?
Aquí deberíamos asumir que ya se ha producido una infracción. Si NTLM está implementado, existe una gran posibilidad de que los atacantes comprometan las contraseñas e intenten realizar un acceso malicioso. La respuesta a esta pregunta debe enumerar los controles de seguridad implementados que pueden detectar y bloquear intentos de acceso maliciosos utilizando archivos NTLM. credenciales comprometidas.
Conclusión: ver, conocer y actuar para mitigar los riesgos de NTLM
Al igual que con Windows XP, ser proactivo es el mejor enfoque para mitigar los riesgos generados por NTLM. Las tres preguntas anteriores son un esquema para una estrategia de mitigación proactiva, entonces, ¿pueden sus equipos de identidad y seguridad brindarles respuestas sólidas? Por supuesto, esto dependerá de las soluciones de identidad y seguridad que tenga implementadas. Si no puede encontrar las respuestas o si no le satisfacen, se requiere acción inmediata para encontrar la solución que pueda ayudar. Cualquier cosa más corta que eso te dejaría expuesto.
¿Recuerda XP y los múltiples ataques que las organizaciones experimentan a diario? Ese problema no desapareció por sí solo. NTLM no será diferente.
