En octubre de 2023, Microsoft hizo un anuncio fundamental que marcó el principio del fin de NTLM, incluidas todas sus versiones. Esta decisión, reiterada en junio de 2024, subraya el compromiso de Microsoft de hacer la transición de los desarrolladores a protocolos más seguros, como Kerberos a través del mecanismo de negociación. Dado que el proceso de desuso comenzará a principios de 2025 y se completará en 2027, el reinado de larga data de NTLM está llegando a su fin.
A pesar de su importancia histórica, NTLM representa ahora un riesgo de seguridad considerable.. Este blog explora las debilidades críticas inherentes a NTLM, las razones detrás de su uso prolongado y la transición imperativa hacia sistemas más seguros. autenticación protocolos. Comprender estos elementos es esencial para que las organizaciones protejan sus sistemas y datos en un panorama digital en evolución.
Anuncio de Microsoft
Microsoft anunció en octubre de 2023 su intención de desaprobar todas las versiones de NTLM, incluidas LANMAN, NTLMv1 y NTLMv2. Esta decisión se reafirmó en junio de 2024, enfatizando que NTLM ya no está bajo desarrollo activo e instando a los desarrolladores a realizar la transición a protocolos más seguros como Kerberos a través del mecanismo Negotiate.
El proceso de desaprobación comenzará a principios de 2025., con reducciones graduales del apoyo a lo largo del año. A mediados de 2026, NTLM ya no estará disponible en las nuevas instalaciones de los sistemas operativos de Microsoft (Sin embargo, la posibilidad de habilitarlo en algunas configuraciones avanzadas no está verificada). Se espera que la desactivación total, incluida la eliminación del soporte heredado, finalice a finales de 2027.
NTLM es un riesgo de seguridad
Hoy en día, NTLM plantea importantes riesgos de seguridad debido a métodos criptográficos obsoletos y debilidades bien documentadas. Además, NTLM carece de funciones de seguridad modernas como autenticación de múltiples factores (MFA) y validación de identidad del servidor. Debido a estas debilidades, los atacantes pueden explotar NTLM y obtener acceso no autorizado a recursos confidenciales como bases de datos y aplicaciones internas, lo que lo convierte en una responsabilidad importante.
Una versión anterior de NTLM utilizaba un secreto compartido (contraseña) para autenticarse a través de un canal no cifrado. Para un usuario nuevo, no existe un protocolo de inicialización; es tan simple como "inicie sesión como usuario X con la contraseña Y".
Esto significa que el protocolo intercambia toda la información necesaria para que un atacante pueda descifrar la contraseña con un ataque de fuerza bruta dentro de los propios mensajes.
Para mejorar las deficiencias de NTLM, se incorporó la salazón en el mecanismo de desafío-respuesta de NTLMv2. Como resultado, NTLMv2 puede verse como “parcialmente salado” o “no mejorado”, lo que mejora la seguridad durante la autenticación, pero no aborda completamente la seguridad del almacenamiento de los hashes de contraseñas ni la reutilización de los hashes, como en los ataques de retransmisión. En general, NTLMv2 no brinda protección contra ataques de retransmisión debido a su capacidad para reutilizar contraseñas hash.
La prevalencia de NTLM: la última resistencia de un legado
A pesar de sus muchas vulnerabilidades conocidas, NTLM se ha mantenido firme como un viejo guerrero que se niega a retirarse. La persistencia de NTLM no es aleatoria. A finales de los 1990 y principios de los 2000, nació una ola de aplicaciones heredadas. Estas aplicaciones a menudo se adaptaban a las necesidades únicas de sus organizaciones. Sin embargo, con el paso del tiempo, muchas de estas aplicaciones fueron abandonadas por sus creadores. Se quedaron sin actualizaciones ni soporte, pero siguieron siendo esenciales para innumerables empresas.
NTLM, con su mecanismo de autenticación simple pero robusto, se convirtió en el salvavidas para estos sistemas heredados.. Proporcionó la compatibilidad que necesitaban para funcionar en un mundo moderno que hacía tiempo que había adoptado protocolos más nuevos y seguros como Kerberos.
Para muchas organizaciones, reemplazar estos sistemas críticos fue una tarea desalentadora. La migración a protocolos de autenticación modernos no fue sólo un desafío técnico sino una tarea costosa y compleja. Esto requirió una extensa reelaboración de la infraestructura y el código de la aplicación. A medida que el panorama empresarial evolucionó, también lo hizo su infraestructura de TI.
Se introdujeron nuevos sistemas y con ellos surgió la necesidad de mantener relaciones de confianza en un entorno multidominio. NTLM, a pesar de su antigüedad, demostró ser un puente confiable que garantiza la continuidad operativa y la conveniencia administrativa. Las actualizaciones graduales se convirtieron en la norma y NTLM a menudo se mantuvo como una alternativa, una red de seguridad para cuando los nuevos protocolos tropezaran.
Sin embargo, los analistas de seguridad sabían que las debilidades de NTLM lo convertían en un objetivo principal para los atacantes. Esto se debió a que los ataques de paso de hash, los ataques de retransmisión y los intentos de fuerza bruta son muy familiares en NTLM. Esta dependencia de NTLM es una historia de supervivencia en un mundo digital que cambia rápidamente, una delicada danza entre innovación y legado.
Sin embargo, vale la pena mencionar que NTLM no es estrictamente un protocolo de autenticación, sino más bien un modelo conceptual para diseñar mecanismos de autenticación.. Su versatilidad le permite integrarse con varios protocolos complementarios, como SMB o CIFS para compartir archivos y RPC para acceso RDP, lo que lo convierte en un modelo de autenticación robusto y adaptable.
Por qué NTLM sigue reinando: compatibilidad heredada, necesidades operativas y consideraciones de seguridad
Existen altos costos y complejidades asociados con la actualización o reescritura de sistemas heredados, lo que explica la persistencia de NTLM. Además, NTLM se sigue utilizando a pesar de la disponibilidad de protocolos de autenticación más modernos debido a la naturaleza gradual de las actualizaciones de la infraestructura y la dependencia de sistemas que no son Windows y de terceros.
A continuación se muestra una lista de algunos de los elementos clave:
Compatibilidad y sistemas heredados:
- Los sistemas y aplicaciones heredados se diseñaron para funcionar con NTLM.
- Reescribir o actualizar estos sistemas puede resultar costoso y complejo.
- Algunos sistemas y aplicaciones que no son Windows todavía dependen de NTLM.
- Las organizaciones suelen actualizar su infraestructura de TI de forma incremental.
Controles de seguridad y soporte de proveedores:
- Es posible que ciertos proveedores externos solo admitan NTLM.
- Las organizaciones mejoran NTLM con controles de seguridad como MFA y monitoreo.
- NTLM se utiliza en casos específicos como el acceso remoto.
- Mantener la continuidad operativa a menudo prevalece sobre la adopción de nueva tecnología.
Comprender los desafíos de sincronización de contraseñas y los riesgos de SaaS
En el lado del servidor, los hashes de contraseñas se almacenan de forma segura en el archivo NTDS.dit en cada controlador de dominio (DC). Sin embargo, estos hashes son susceptibles a ataques DCSync, una técnica sofisticada en la que el software malicioso se hace pasar por un DC legítimo.
Al explotar esta técnica, los atacantes pueden engañar al DC para que sincronice su base de datos de hashes de contraseñas con software fraudulento como Mimikatz.
Esto permite al atacante recopilar un conjunto completo de hashes de credenciales del controlador de dominio, que luego puede usarse para tomar el control del dominio.
El comando lsadump se utiliza para extraer información confidencial, como contraseñas y hashes, de los secretos de la Autoridad de seguridad local (LSA).
Esto es particularmente peligroso para entornos SaaS sincronizados con sistemas locales. Active Directory (AD) a través de proveedores de identidad (IdP) en la nube como Azure AD. Los hashes robados se pueden utilizar para autenticarse en aplicaciones SaaS sin descifrar contraseñas aprovechando la integración AD sincronizada. Esto otorga acceso no autorizado a datos y servicios comerciales críticos en la nube.
Los atacantes pueden moverse lateralmente dentro del entorno de la nube, comprometiendo cuentas adicionales y accediendo a información confidencial. Si se obtienen credenciales administrativas, pueden desencadenar la creación de puertas traseras, alterar la configuración de seguridad y mantener el acceso persistente. Esto pone de relieve la necesidad de una AMF, un seguimiento continuo y el cumplimiento del principio de privilegios mínimos.
Exponiendo las vulnerabilidades de NTLM: acceso inicial, movimiento lateral y exposición a amenazas
Esta sección profundiza en las fases críticas de exposición, incluida la forma en que los atacantes a menudo aprovechan las debilidades de NTLM durante el acceso inicial y las etapas posteriores a la explotación, lo que les permite establecer un punto de apoyo, escalar privilegios y moverse lateralmente, amplificando así el potencial de un compromiso generalizado de la red.
Acceso inicial: Los atacantes suelen obtener acceso inicial mediante métodos como el phishing o la explotación de vulnerabilidades del software. Una vez dentro, explotan las vulnerabilidades de NTLM para establecer un punto de apoyo en la red.
Exposición posterior a la explotación: Después de la explotación, las vulnerabilidades NTLM permiten a los atacantes mantener y ampliar su acceso. Esto podría implicar una mayor escalada de privilegios y un movimiento lateral dentro de la red, lo que aumentaría el daño.
Acceso malicioso: movimiento lateral
Movimiento lateral: Con NTLM, puede reutilizar o reproducir el hash en otras máquinas con más privilegios hasta que obtenga el dominio del dominio. Fuera de la caja (hacker), Kali Linux, integrado con Metasploit exploits, se pueden utilizar para lograr esto.
Por ejemplo, en el Violación de datos objetivo de 2013, los atacantes utilizaron credenciales robadas para moverse lateralmente dentro de la red, accediendo a sistemas confidenciales y datos de clientes. Esta violación expuso millones de registros de información personal y de tarjetas de crédito, destacando los peligros de los ataques pass-the-hash. Los atacantes utilizaron hashes NTLM capturados para autenticar y moverse a través de sistemas dentro de la red, evadiendo la detección y accediendo a recursos confidenciales. Otro ejemplo es el infame Ataque de WannaCry ransomware.
Los atacantes utilizaron una vulnerabilidad conocida en el protocolo SMB para propagar el malware. Esto incluyó explotar las debilidades de la autenticación NTLM para moverse lateralmente a través de las redes afectadas. Esto les permitió propagar rápidamente el ransomware, provocando perturbaciones generalizadas.
Se revela la exposición a amenazas NTLM
La siguiente sección profundiza en la exposición a las amenazas que plantea NTLM y destaca cómo los atacantes pueden explotar los hashes almacenados y transmitidos, lo que genera importantes violaciones de seguridad en las redes.
Hashes NTLM almacenados en la memoria
Las vulnerabilidades de NTLM son particularmente evidentes en la forma en que maneja y transmite hashes, lo que lo convierte en un objetivo principal para los atacantes que buscan comprometer la seguridad de la red mediante la extracción de memoria, la interceptación de la red y los ataques de paso del hash.
Los hashes NTLM se almacenan en la memoria de las máquinas autenticadas. Los atacantes pueden utilizar herramientas como Mimikatz para extraer estos hashes de la memoria de la máquina, lo que les permite hacerse pasar por usuarios sin necesidad de sus contraseñas reales. Una vez que los atacantes han extraído los hashes NTLM, pueden realizar un ataque de paso de hash.
Esto implica utilizar el hash para autenticarse en otros sistemas de la red, otorgándoles efectivamente el mismo acceso que el usuario original. Esto puede provocar un compromiso a gran escala de la red si el objetivo son cuentas con mayores privilegios.
Hashes NTLM enviados a través de la red
La autenticación NTLM envía hashes a través de la red, haciéndolos susceptibles de ser interceptados. Al utilizar herramientas de rastreo de redes, los atacantes pueden capturar estos hashes y realizar ataques de intermediario para obtener acceso a ellos. Si los atacantes interceptan con éxito estos hashes, pueden usarlos para aumentar sus privilegios autenticándose en máquinas adicionales y utilizando herramientas como LSADUMP para extraer más credenciales.
NTLS tiene múltiples autenticaciones en comparación con Kerberos
Autenticación NTLM: Cada vez que un usuario accede a un recurso diferente, NTLM envía las credenciales hash a través de la red. Esta transmisión repetida de hashes brinda más oportunidades para que los atacantes los intercepten y los utilicen indebidamente.
Como los hashes se almacenan en cada máquina, están dispersos por toda la red por diseño.
Imagine un usuario llamado Alice que necesita acceder a múltiples recursos de red, como un servidor de archivos, un servidor de correo electrónico y una impresora. Para cada solicitud de acceso, la estación de trabajo de Alice envía sus credenciales hash a través de la red al servidor respectivo. Un atacante que utilice una herramienta de rastreo de redes puede interceptar estos hashes durante la transmisión. Con suficientes hashes interceptados, el atacante puede realizar un ataque de paso de hash para obtener acceso no autorizado a otros sistemas reproduciendo los hashes capturados.
Autenticación Kerberos: Kerberos, por el contrario, utiliza un mecanismo de autenticación basado en tickets que minimiza las solicitudes de autenticación repetidas y reduce significativamente el riesgo de interceptación de credenciales. En Kerberos, el usuario se autentica una vez en el Centro de distribución de claves (KDC) y recibe un Ticket de concesión de tickets (TGT). Luego, este TGT se utiliza para solicitar tickets de servicio para acceder a diferentes recursos sin reenviar las credenciales del usuario a través de la red.
Lucha contra los ataques NTLM: estrategias comunes y medidas proactivas
El propósito de la siguiente sección es examinar las técnicas que se relacionan con acceso de credenciales, comenzando por volcar los hashes almacenados en la memoria.
Cuando un usuario inicia sesión o se autentica en un servicio, sus credenciales se procesan y estos hashes se almacenan en la memoria del sistema. Los atacantes suelen utilizar herramientas como Mimikatz para extraer hashes NTLM de la memoria de una máquina. Una vez obtenidos, estos hashes se pueden aprovechar en ataques de paso de hash para obtener acceso no autorizado a otros sistemas dentro de la red.
Los atacantes suelen comenzar comprometiendo un sistema con privilegios suficientes para acceder a la memoria del Servicio del subsistema de la autoridad de seguridad local (LSASS), donde se almacenan los hashes NTLM. Ejemplo de hashes NTLM y SHA1 extraídos usando Mimikatz.
Del tráfico de red: Respondedor
En una red donde se utiliza la autenticación NTLM, herramientas como Responder representan una amenaza importante porque pueden capturar hashes NTLM del tráfico de red mediante la falsificación de respuestas de servicios de red. Imagine un escenario en el que un atacante, Bob, se infiltra en el mismo segmento de red que Alice, una administradora de red. Bob configura Responder en su computadora portátil para escuchar en la interfaz de red y falsificar respuestas a solicitudes de NetBIOS Name Service (NBT-NS), LLMNR y mDNS.
A medida que la estación de trabajo de Alice envía solicitudes de red para resolver nombres de host, El respondedor intercepta estas solicitudes y se hace pasar por el servicio de red legítimo. Cuando la máquina de Alice se autentica en el servicio falsificado, envía su hash NTLM, que Responder captura. Por ejemplo, Responder podría mostrar un hash NTLMv2 interceptado como alice::CONTOSO:1122334455667788:9988776655443322:0101000000000000800000….
Armado con este hash, Bob puede realizar un ataque de fuerza bruta fuera de línea utilizando herramientas como Hashcat para descifrar la contraseña de Alice. Sin embargo, de manera más eficiente, puede usar el hash capturado directamente en un ataque de paso del hash para obtener acceso no autorizado a otros sistemas en la red autenticándose como Alice.
El propósito de la siguiente sección es examinar las técnicas que se relacionan con el movimiento lateral.:
Aprovechamiento del movimiento lateral hashes capturados
Pasar el hash: Los ataques PtH aprovechan las debilidades inherentes a la autenticación NTLM. Los atacantes utilizan hashes NTLM capturados para autenticarse en otras máquinas sin necesidad de la contraseña en texto plano.
Del escenario anterior, ejecutando un comando como pth-winexe -U 'CONTOSO\alice%1122334455667788:9988776655443322' //target-server cmd – utilizando el kit de herramientas PTH, Bob puede abrir un símbolo del sistema en un servidor de destino como Alice, omitiendo el Necesidad de la contraseña en texto plano. Esto se puede hacer utilizando varias herramientas que admiten la autenticación hash NTLM, como pth-winexe o pth-smbclient.
Relé NTLM: Un ataque de retransmisión NTLM implica interceptar una solicitud de autenticación NTLM de un usuario y retransmitirla a un servidor de destino para obtener acceso no autorizado. El atacante captura el hash NTLM y lo utiliza para autenticarse en otro sistema como usuario legítimo, explotando las relaciones de confianza dentro de la red.
Utiliza una herramienta como ntlmrelayx para transmitir el hash NTLM capturado a otro servidor de la red que confíe en la autenticación NTLM. Este servidor, al no ser consciente de la interceptación, procesa la autenticación como si fuera genuina del usuario original.
Usando una contraseña descifrada
Inicio de sesión directo -> Local: Las contraseñas NTLM descifradas permiten a los atacantes eludir las medidas de seguridad y obtener acceso directo a los sistemas locales. Los atacantes pueden extraer y descifrar hashes NTLM de máquinas comprometidas utilizando herramientas como Mimikatz.
Las contraseñas descifradas de esta manera se pueden usar para inicios de sesión directos a través del protocolo de escritorio remoto (RDP) o shell seguro (SSH), lo que permite el movimiento lateral a través de la red con credenciales legítimas, eludiendo efectivamente MFA, suponiendo que solo esté habilitado durante el inicio de sesión inicial.
Inicio de sesión directo –> SaaS: En entornos donde las contraseñas NTLM se sincronizan entre sistemas locales y aplicaciones SaaS, las contraseñas descifradas representan una amenaza importante. Se puede acceder a servicios en la nube como Office 365, Salesforce y Google Workspace utilizando estas credenciales. Esto amplía la superficie de ataque más allá de la red corporativa para incluir recursos en la nube, aumentando el impacto potencial de la infracción. Por ejemplo, descifrar la contraseña NTLM de un administrador desde el entorno local permite a los atacantes acceder a los servicios en la nube de la organización con el mismo nivel de privilegio.
Esto enfatiza la necesidad de prácticas de cifrado sólidas, controles de acceso estrictos y MFA en todos los servicios para proteger contra el compromiso de las credenciales NTLM.
Debido a la naturaleza unidireccional de los hashes NTLM, no es posible descifrar directamente contraseñas de texto sin formato a partir de hashes NTLM. Es posible explotar estos hashes utilizando técnicas como tablas arcoíris o ataques de fuerza bruta utilizando herramientas como Hashcat.
De la captura de acceso a credenciales al movimiento lateral
Imagine el siguiente escenario: Bob, un atacante experimentado, decide explotar la dependencia de una empresa de NTLM para la autenticación de red. Configura su computadora portátil en el mismo segmento de red y configura Responder para capturar solicitudes de autenticación NTLM escuchando en la interfaz de red. Cuando empleados como Alice intentan acceder a los recursos de la red, Responder intercepta estas solicitudes y captura sus hashes NTLM.
Con estos hashes en la mano, Bob usa ntlmrelayx para transmitirlos a un servidor de destino de alto valor en la dirección IP 192.168.1.10. Al ejecutar ntlmrelayx.py -t smb://192.168.1.10, Bob efectivamente reenvía el hash capturado de Alice al servidor, que ingenuamente acepta la autenticación y le otorga acceso como si fuera Alice. Esto permite a Bob explorar los archivos compartidos del servidor y potencialmente extraer información confidencial, lo que demuestra el grave riesgo que plantean los ataques de retransmisión NTLM en un entorno de red desprotegido.
Ganar visibilidad en el uso de NTLM
Para protegerse de todas las formas en que los atacantes pueden aprovechar NTLM, las organizaciones primero deben obtener visibilidad sobre dónde y cómo se utiliza NTLM dentro de sus redes. Esto implica identificar todos los sistemas y aplicaciones que dependen de NTLM para la autenticación. Las auditorías periódicas de la red y las herramientas de monitoreo pueden ayudar a lograr esta visibilidad.
Silverfort mejora la visibilidad de NTLM al integrar su plataforma para monitorear y proteger todas las autenticaciones dentro del entorno de una organización. Al hacerlo, Silverfort proporciona visibilidad en tiempo real y análisis de riesgos de la autenticación NTLM, permitiendo a las organizaciones detectar y mitigar amenazas potenciales de manera efectiva. SilverfortEl motor de análisis de riesgos impulsado por IA monitorea continuamente los intentos de acceso, creando líneas de base de comportamiento detalladas para cada usuario. Esto ayuda a identificar actividades anómalas y riesgos potenciales asociados con las autenticaciones NTLM.
Reducir la dependencia de NTLM Se deben realizar esfuerzos para reducir el uso de NTLM al mínimo indispensable. La transición a protocolos de autenticación más seguros, como Kerberos o mecanismos de autenticación modernos basados en la nube, puede mitigar los riesgos relacionados con NTLM. Microsoft recomienda utilizar el protocolo Negotiate, que prioriza Kerberos y recurre a NTLM sólo cuando es necesario.
Mejore la seguridad de su organización obteniendo una visibilidad clara del uso de NTLM mientras identifica dónde se utiliza NTLM y tome medidas para minimizar su dependencia mediante la transición a protocolos de autenticación más seguros.
¿NTLM es una superficie de ataque que desea abordar? Programe una reunión con uno de nuestros expertos aquí.