Omisión de NTLMv1 en Active DirectoryAnálisis técnico en profundidad

Silverfort Imagen
11
Índice

Comparte este artículo:

Si cree que ha bloqueado NTLMv1 en su organización, piénselo nuevamente. SilverfortEl equipo de investigación descubrió recientemente que los atacantes eluden la Política de grupo diseñada para deshabilitar NTLMv1, lo que permite que persistan autenticaciones inseguras. Active Directory .

Estos hallazgos clave resaltan una brecha crítica: incluso cuando las organizaciones creen que han protegido sus sistemas, NTLMv1 sigue siendo una puerta trasera oculta para el robo de credenciales. movimiento lateraly escalada de privilegios. Con más del 64% de Active Directory Aunque las cuentas aún se autentican con protocolos NTLM a pesar de sus debilidades conocidas, NTLMv1 continúa representando un riesgo grave.

TL; DR 

  • Noticias: SilverfortEl equipo de investigación descubrió una nueva forma para que los atacantes... use NTLMv1 en ataques, a pesar de los esfuerzos por desactivarlo. Mediante una configuración incorrecta en las aplicaciones locales, los atacantes pueden eludir el Política de grupo diseñada para detener NTLMv1 autenticaciones. 
  • Por qué es importante: 64% de Active Directory cuentas de usuario autenticarse regularmente con NTLM, a pesar de sus debilidades conocidas y de que Microsoft lo ha dejado obsoleto. Muchas organizaciones intentaron resolver el problema de NTLMv1 con un Active Directory Política de grupo. Sin embargo, descubrimos que esta política es defectuosa y permite que las autenticaciones NLTMv1 persistan, lo que crea una falsa sensación de protección y deja a las organizaciones expuestas. Los atacantes saben que NTLMv1 es una vulnerabilidad débil. autenticación protocolo y lo buscan activamente como un método para moverse lateralmente o escalar privilegios. 
  • ¿Quién se ve afectado? Cualquier organización que utilice aplicaciones locales o de terceros y aquellas que no utilicen estrictamente equipos Windows. Por ejemplo, si una computadora Mac se conecta a una aplicación bancaria, podría verse comprometida.  
  • Impacto en las organizaciones: Un atacante sentado en una red puede ver el tráfico NTLMv1 y descifrar las credenciales de los usuarios fuera de línea, abriendo la puerta al movimiento lateral y escalada de privilegiosNuestra prueba de concepto emula una aplicación que elude el cercado, lo que valida que esta configuración incorrecta funciona en beneficio del atacante.
  • Resultado de la divulgación: Si bien el Centro de Respuesta de Seguridad de Microsoft (MSRC) indicó que NTLMv1 Bypass no es una vulnerabilidad, tomaron medidas proactivas para mejorar la seguridad al anunciar la eliminación completa de NTLMv1 dentro de los dos meses posteriores a nuestra divulgación, comenzando con Windows 11 versión 24H2 y Windows Server 2025.

Recientemente organizamos un seminario web en el que expliqué a las personas la investigación con más detalle y mostré cómo mitigar las autenticaciones NTLMv1 en ausencia de un parche. Puedes ver este seminario web a pedido aquí.

Webinar a pedido

Descubriendo vulnerabilidades de NTLMv1: riesgos y estrategias de mitigación Active Directory Ambientes

Míralo aquí
Captura de pantalla NTLM 1

Resumen y mitigaciones

A pesar de su importancia histórica, NTLM representa una considerable desventaja en términos de seguridad. Sus métodos criptográficos obsoletos, sus debilidades bien documentadas y la falta de características de seguridad modernas (como MFA y la validación de identidad del servidor) lo convierten en un objetivo atractivo para los atacantes. Los hashes NTLMv1 pueden ser interceptados y utilizados para autenticación Ataques de retransmisión o incluso ataques de diccionario, que otorgan a los atacantes acceso no autorizado a sistemas sensibles. En los últimos meses se han revelado nuevas vulnerabilidades de NTLM, incluido un día cero. Más recientemente, CyberSky descubierto una vulnerabilidad NTLM explotada por actores de amenazas rusos como parte de una cadena de ataque que distribuye código abierto Rata de chispa malware    

Muchas organizaciones utilizan de forma proactiva el mecanismo de directiva de grupo de Microsoft para Detener NTLMv1, Creyendo que esto los protegerá de autenticaciones NTLMv1 inseguras. Sin embargo, nuestra investigación muestra que las aplicaciones locales se pueden configurar para habilitar NTLMv1, anulando el nivel de autenticación más alto establecido en la Política de grupo LAN Manager. Active DirectoryLas organizaciones creen que están haciendo lo correcto al configurar esta política de grupo, pero la aplicación mal configurada sigue omitiendo esta política. Hasta que las aplicaciones no puedan configurarse para autenticarse con NTLMv1, el problema persistirá.    

At SilverfortHemos visto muchos intentos de autenticación a través de NTLMv1 en nuestra base de clientes. Trabajamos en estrecha colaboración con nuestros clientes para mapear y detectar el uso de NTLMv1 y aplicar vallas basadas en riesgos Para reducir el riesgo de vulneración. Sin un parche para NLTMv1, las empresas que utilizaban NTLMv1 en el pasado deberían considerar lo siguiente:  

  1. Habilitar registros de auditoría para todas las autenticaciones NTLM en el dominio.
  2. Asignar todas las aplicaciones que utilizan autenticaciones NTLM en primera instancia o como alternativa.
  3. Detectar aplicaciones vulnerables que solicitan a los clientes utilizar mensajes NTLMv1.
  4. Protegiendo todo NTLM con un método de autenticación moderno.

Guía para eliminar NTLM por completo de su entorno

El fin del ciclo de vida de Windows 10 implica la desaparición de la autenticación NTLM. Descubra cómo detectar y eliminar el uso de NTLM con esta guía paso a paso.

Lee ahora

¿Qué es NTLMv1 y por qué es un problema?

NTLM (NT LAN Manager) es un protocolo de autenticación heredado de Microsoft que data de principios de la década de 1990. Originalmente fue diseñado para verificar las identidades de los usuarios en redes de Windows y, si bien ha sido reemplazado en gran medida por Kerberos, permanece en muchos Active Directory entornos debido a la compatibilidad con versiones anteriores y sistemas heredados.

Fundamentos de NTLM

El protocolo funciona mediante una secuencia simple de tres mensajes:

  1. Negocia – El cliente le dice al servidor que desea utilizar NTLM para la autenticación.
  2. Desafío – El servidor responde con un número aleatorio (el desafío) que debe ser cifrado utilizando las credenciales del usuario.
  3. Autenticar El cliente devuelve el desafío cifrado. Si el servidor lo valida con las credenciales almacenadas, se concede el acceso.
Captura de pantalla NTLM 2

El problema es que NTLMv1, la primera versión del protocolo, es altamente inseguro según los estándares actuales. Se basa en un cifrado DES débil, utiliza solo un desafío de 8 bytes (fácil de ejecutar por fuerza bruta) y carece de controles de seguridad modernos como la protección MFA o la validación de identidad del servidor. Estas debilidades convierten las autenticaciones NTLMv1 en un objetivo principal para los atacantes, que pueden interceptar hashes, realizar ataques de repetición o retransmisión y escalar privilegios. Active Directory.

A pesar de estar en desuso, NTLMv1 sigue en uso porque muchas aplicaciones locales, clientes que no son Windows y sistemas locales aún dependen de él, lo que deja a las organizaciones vulnerables a ataques.

Blog

Seguridad a pesar del legado: la guía del líder de IAM para controlar el riesgo de identidad

Lee ahora

¿Cuál es la diferencia entre NTLMv1 y NTLMv2?

Para abordar las debilidades de NTLMv1, Microsoft introdujo NTLMv2, que introdujo varias mejoras:

  • Cifrado más fuerte – NTLMv2 reemplazó a DES con RC4, lo que hace que los ataques de fuerza bruta sean más difíciles.
  • Desafío del cliente – Se agregó un segundo desafío aleatorio del cliente, aumentando la entropía y la seguridad.
  • PARES AV – Se introdujeron datos de sesión adicionales (como origen, destino y SPN) para generar claves de sesión únicas, lo que reduce el riesgo de ataques de repetición o retransmisión.
Captura de pantalla NTLM 3

Si bien NTLMv2 es significativamente más seguro que NTLMv1, sigue siendo un protocolo heredado. Carece de compatibilidad nativa con MFA y de protecciones de identidad modernas, lo que significa que las organizaciones deberían migrar a protocolos de autenticación modernos como Kerberos para lograr una mayor protección.

Silverfort Investigación: omisión de NTLMv1 en Active Directory

El mecanismo de directiva de grupo de Microsoft está diseñado para deshabilitar las autenticaciones NTLMv1. Al configurar la clave de registro LMCompatibilityLevel, los administradores esperan que los controladores de dominio rechacen el tráfico NTLMv1 y requieran NTLMv2 o Kerberos en su lugar. En teoría, esto debería eliminar NTLMv1 de... Active Directory .

Captura de pantalla NTLM 4

Pero SilverfortEl equipo de investigación descubrió que esta protección no es absoluta. Durante nuestro análisis, identificamos una falla que permite a las aplicaciones eludir la directiva de grupo y continuar enviando solicitudes de autenticación NTLMv1. Esto crea un peligroso punto ciego: las organizaciones pueden creer que han bloqueado NTLMv1, cuando en realidad aún persiste, dejando... Active Directory expuestos al robo de credenciales, movimiento lateral y escalada de privilegios.

Análisis técnico en profundidad: Cómo funciona la omisión de NTLMv1

La aplicación de las políticas NTLM depende de la Protocolo remoto de inicio de sesión de red (MS-NRPC), que los servidores de aplicaciones utilizan para validar los mensajes NTLM con los controladores de dominio. Una estructura clave en este proceso, INFORMACIÓN DE IDENTIDAD DE INICIO DE SESIÓN DE RED, contiene un campo llamado Control de parámetros.

Captura de pantalla NTLM 5

Dentro de este campo hay una bandera que permite explícitamente la autenticación NTLMv1, incluso si la directiva de grupo está configurada para bloquearla. En otras palabras, el control es tan sólido como las aplicaciones que lo respetan.

Para probar esto, creamos una aplicación de prueba de concepto que simulaba un servicio malicioso o mal configurado. Al configurar el indicador ParameterControl, forzamos con éxito las autenticaciones NTLMv1. El controlador de dominio las aceptó, a pesar de que la directiva de grupo estaba configurada para deshabilitar NTLMv1.

Captura de pantalla NTLM 6

Esto significa que cualquier aplicación, ya sea por error o por diseño, puede generar tráfico NTLMv1, lo que expone a las organizaciones a riesgos de autenticación ocultos. Los atacantes que identifican dichas aplicaciones pueden explotarlas para interceptar credenciales, realizar ataques de repetición o retransmisión y moverse lateralmente. Active Directory.

la respuesta de microsoft

Cuando comunicamos nuestros hallazgos al Centro de Respuesta de Seguridad de Microsoft (MSRC), confirmaron el comportamiento, pero no lo clasificaron como una vulnerabilidad de seguridad. En cambio, Microsoft tomó medidas proactivas al anunciar la eliminación total de NTLMv1. Comenzando con Windows 11 versión 24H2 más antigua y la Windows Server 2025NTLMv1 ya no será compatible.

Esta decisión decisiva subraya la gravedad del riesgo. Sin embargo, hasta entonces, las organizaciones siguen expuestas si se basan únicamente en la directiva de grupo para bloquear NTLMv1. Deben detectar y mitigar proactivamente el uso de NTLMv1 para garantizar que los atacantes no puedan explotar esta vulnerabilidad de autenticación.

recurso gratuito

Hoja de ruta para cerrar aplicaciones basadas en NTLM

Esta guía descargable proporciona una hoja de ruta fácil de entender sobre qué hacer cuando esté listo para cerrar por completo las aplicaciones basadas en NTLM.

Lee ahora

Riesgos de seguridad de la autenticación NTLMv1

A pesar de que Microsoft ha desestimado NTLMv1, sigue representando un riesgo grave en las computadoras modernas. Active Directory Entornos. Los atacantes escanean activamente las redes en busca de tráfico NTLMv1, ya que proporciona un punto de entrada fácil para:

  • robo de credenciales – Los hashes NTLMv1 se pueden interceptar y descifrar sin conexión.
  • Ataques de repetición y retransmisión – Los mensajes NTLMv1 interceptados se pueden reutilizar para suplantar a usuarios en diferentes servicios.
  • Movimiento lateral y escalada de privilegios – una vez que los atacantes logran establecerse, pueden moverse a través de los sistemas y elevar sus privilegios dentro de AD.

Incluso cuando las organizaciones creen haber bloqueado NTLMv1 mediante la directiva de grupo, el protocolo suele persistir de forma oculta. Las aplicaciones aún pueden solicitar la autenticación NTLMv1, y los controladores de dominio pueden aprobarla bajo ciertas condiciones. Los clientes Windows con LMCompatibilityLevel 3 y superior no generarán respuestas NTLMv1, pero los clientes que no sean Windows permanecerán desprotegidos. En la práctica, esto significa que muchos entornos aún contienen tráfico NTLMv1, incluso si los administradores dan por sentado que se ha eliminado.

Esta persistencia dificulta enormemente demostrar que NTLMv1 se ha eliminado por completo. Como resultado, muchas organizaciones tienen una falsa sensación de seguridad, mientras que los atacantes continúan explotando estas autenticaciones débiles para comprometer... Active Directory.

Cómo mitigar y eliminar NTLMv1

Hasta que Microsoft elimine por completo NTLMv1, las organizaciones deben tomar medidas proactivas para detectar y contener su uso. Confiar únicamente en la directiva de grupo no es suficiente: las configuraciones incorrectas ocultas y los clientes que no sean de Windows aún pueden generar tráfico NTLMv1.

Estas son las acciones clave que toda organización debe adoptar:

  1. Habilitar registros de auditoría para todas las autenticaciones NTLM en todo el dominio para establecer una visibilidad completa.
  2. Asignar todas las aplicaciones que utilizan NTLM como su método principal o como respaldo, incluidos los sistemas locales y locales.
  3. Detectar aplicaciones vulnerables que aún solicitan mensajes NTLMv1, especialmente de clientes que no sean Windows.
  4. Aplicar protecciones modernas como MFA y controles de acceso basados ​​en riesgos en todas las autenticaciones NTLM para evitar que los atacantes exploten protocolos débiles.

Silverfort, Seguridad de identidad La plataforma ayuda a las organizaciones a tomar estas medidas detectando el tráfico NTLMv1 en tiempo real y aplicando controles adaptativos. Con Silverfort, los equipos de seguridad pueden contener autenticaciones riesgosas, proteger cuentas de servicioy aplicar la autenticación moderna sin interrumpir las operaciones comerciales.

¿Quieres saber más? Mira nuestro seminario web a la carta.

Si desea profundizar en los detalles de esta investigación, Mira este seminario web a pedido, donde analizamos el descubrimiento de la omisión de NTLMv1 y mostramos formas prácticas de mitigar las autenticaciones de NTLMv1 en ausencia de un parche.

Webinar a pedido

Descubriendo vulnerabilidades de NTLMv1: riesgos y estrategias de mitigación Active Directory Ambientes

Roy-Akerman-Headshot-2.jpg

Roy Akerman

Vicepresidente de Estrategia de Seguridad de Identidad

Escuela Secundaria Dor Segal

Dor Segal

Jefe del equipo de investigación de seguridad

Escuela secundaria Yoad Dvir

Yoad Dvir

Gerente Senior de Mercadeo de Producto

Míralo aquí

Nos atrevimos a llevar la seguridad de la identidad aún más lejos.

Descubra lo que es posible.

Configure una demostración para ver el Silverfort Plataforma de seguridad de identidad en acción.

Programe una demostración
nuevo héroe (1)

Silverfort adquiere Fabrix Security

Proporcionar seguridad de identidad autónoma en tiempo de ejecución.

Desarrollamos el primer motor de control de acceso en tiempo de ejecución autónomo, diseñado para proteger todas las identidades humanas, de máquinas y de agentes mediante el análisis de contexto profundo y la velocidad de la IA.

Obtén la historia completa