Se você acha que bloqueou o NTLMv1 em sua organização, pense novamente. SilverfortA equipe de pesquisa da descobriu recentemente que os invasores ignoram a Política de Grupo projetada para desabilitar o NTLMv1, permitindo que autenticações inseguras persistam em Active Directory ambientes.
Essas descobertas importantes destacam uma lacuna crítica: mesmo quando as organizações acreditam que protegeram seus sistemas, o NTLMv1 continua sendo uma porta dos fundos oculta para roubo de credenciais. movimento lateral, e escalonamento de privilégios. Com mais de 64% de Active Directory contas ainda autenticadas com protocolos NTLM, apesar de suas fraquezas conhecidas, o NTLMv1 continua a representar um risco sério.
TL, DR
- news: SilverfortA equipe de pesquisa da descobriu uma nova maneira para os invasores usar NTLMv1 em ataques, apesar dos esforços para desativá-lo. Usando uma configuração incorreta em aplicativos locais, os invasores podem ignorar o Política de grupo projetada para interromper NTLMv1 autenticações.
- Por que isso é importante: 64% de Active Directory contas de usuário regularmente autenticar com NTLM, apesar de suas fraquezas conhecidas e de ser obsoleto pela Microsoft. Muitas organizações tentaram resolver o problema NTLMv1 com um Active Directory Política de Grupo. No entanto, descobrimos que essa política é falha e permite que as autenticações NLTMv1 persistam, criando uma falsa sensação de proteção e deixando as organizações expostas. Os invasores sabem que o NTLMv1 é um sistema fraco. autenticação protocolo e buscá-lo ativamente como um método para mover-se lateralmente ou escalar privilégios.
- Quem é afetado: Qualquer organização que use aplicativos locais de terceiros ou desenvolvidos internamente e aqueles que não usam estritamente máquinas Windows. Por exemplo, se um computador Mac se conectar a um aplicativo bancário, eles podem ser comprometidos.
- Impacto para as organizações: Um invasor em uma rede pode ver o tráfego NTLMv1 e quebrar as credenciais dos usuários offline, abrindo a porta para movimentos laterais e escalação de privilégios. Nosso POC emula um aplicativo ignorando a cerca, validando que essa configuração incorreta funciona em benefício do invasor.
- Resultado da divulgação: Embora o Microsoft Security Response Center (MSRC) tenha indicado o NTLMv1 bypass não é uma vulnerabilidade, eles tomaram medidas proativas para aumentar a segurança anunciando a remoção completa do NTLMv1 dentro de dois meses após nossa divulgação, começando com o Windows 11 versão 24H2 e o Windows Server 2025.
Recentemente, realizamos um webinar em que expliquei a pesquisa com mais detalhes, mostrando como mitigar autenticações NTLMv1 na ausência de um patch. Você pode assistir a este webinar sob demanda aqui.
Seminário on-line sob demanda
Revelando vulnerabilidades NTLMv1: riscos e estratégias de mitigação em Active Directory Ambientes.
Resumo e mitigações
Apesar de sua importância histórica, o NTLM representa uma responsabilidade de segurança considerável. Seus métodos criptográficos desatualizados, fraquezas bem documentadas e falta de recursos de segurança modernos (como MFA e validação de identidade do servidor) o tornam um alvo atraente para invasores. Os hashes NTLMv1 podem ser interceptados e usados para autenticação ataques de retransmissão ou mesmo ataques de dicionário, concedendo aos invasores acesso não autorizado a sistemas sensíveis. Novas vulnerabilidades NTLM foram divulgadas nos últimos meses, incluindo um dia zero. Mais recentemente, CyberSky descoberto uma vulnerabilidade NTLM explorada por agentes de ameaças russos como parte de uma cadeia de ataque que fornece o código aberto RATO FAÍSCA malware.
Muitas organizações usam proativamente o mecanismo de Política de Grupo da Microsoft para pare NTLMv1, acreditando que isso os protegerá de autenticações NTLMv1 inseguras. No entanto, nossa pesquisa mostra que aplicativos locais podem ser configurados para habilitar NTLMv1, negando o nível de autenticação mais alto do Group Policy LAN Manager definido em Active Directory. As organizações acham que estão fazendo a coisa certa ao definir essa política de grupo, mas ela ainda está sendo ignorada pelo aplicativo mal configurado. Até que os aplicativos não possam ser configurados para autenticar com NTLMv1, o problema persistirá.
At Silverfort, vimos muitas tentativas de autenticação via NTLMv1 em nossa base de clientes. Trabalhamos em estreita colaboração com nossos clientes para mapear e detectar o uso de NTLMv1 e aplicar cercas baseadas em risco para reduzir o risco de comprometimento. Sem um patch para NLTMv1, as empresas que usaram NTLMv1 no passado devem considerar o seguinte:
- Habilitando logs de auditoria para todas as autenticações NTLM no domínio.
- Mapeando todos os aplicativos que usam autenticações NTLM na primeira instância ou como fallback.
- Detectar aplicativos vulneráveis que solicitam que os clientes usem mensagens NTLMv1.
- Protegendo todo o NTLM com um método de autenticação moderno.
Guia para eliminar completamente o NTLM do seu ambiente
O fim da vida útil do Windows 10 significa que a autenticação NTLM será descontinuada. Leia como detectar e eliminar o uso de NTLM com este guia passo a passo.
O que é NTLMv1 e por que ele é um problema?
NTLM (NT LAN Manager) é um protocolo de autenticação legado da Microsoft que remonta ao início da década de 1990. Ele foi originalmente projetado para verificar identidades de usuários em redes Windows e, embora tenha sido amplamente substituído por Kerberos, permanece em muitos Active Directory ambientes devido à compatibilidade com versões anteriores e sistemas legados.
Fundamentos do NTLM
O protocolo funciona por meio de uma sequência simples de três mensagens:
- Negociar – O cliente informa ao servidor que deseja usar NTLM para autenticação.
- Desafio – O servidor responde com um número aleatório (o desafio) que deve ser criptografado usando as credenciais do usuário.
- Autenticar – O cliente envia de volta o desafio criptografado. Se o servidor validá-lo com as credenciais armazenadas, o acesso é concedido.
O problema é que o NTLMv1, a primeira versão do protocolo, é altamente inseguro para os padrões atuais. Ele depende de criptografia DES fraca, usa apenas um desafio de 8 bytes (fácil de usar força bruta) e carece de controles de segurança modernos, como proteção MFA ou validação de identidade do servidor. Essas fragilidades tornam as autenticações NTLMv1 um alvo principal para invasores, que podem interceptar hashes, realizar ataques de repetição ou retransmissão e escalar privilégios em Active Directory.
Apesar de estar obsoleto, o NTLMv1 continua em uso porque muitos aplicativos locais, clientes não Windows e sistemas internos ainda dependem dele, deixando as organizações vulneráveis a ataques.
Blogue
Seguro apesar do legado: o guia do líder do IAM para controlar o risco de identidade
Qual é a diferença entre NTLMv1 e NTLMv2?
Para resolver as fraquezas do NTLMv1, a Microsoft introduziu o NTLMv2, que fez várias melhorias:
- Criptografia mais forte – O NTLMv2 substituiu o DES pelo RC4, tornando os ataques de força bruta mais difíceis.
- Desafio do cliente – Adicionado um segundo desafio aleatório do cliente, aumentando a entropia e a segurança.
- PARES_AV – Introduziu dados de sessão adicionais (como origem, destino e SPN) para gerar chaves de sessão exclusivas, reduzindo o risco de ataques de repetição ou retransmissão.
Embora o NTLMv2 seja significativamente mais seguro que o NTLMv1, ele ainda é um protocolo legado. Ele não possui suporte nativo para MFA nem proteções de identidade modernas, o que significa que as organizações devem migrar para protocolos de autenticação modernos, como o Kerberos, para obter uma proteção mais robusta.
Silverfort pesquisa: bypass NTLMv1 em Active Directory
O mecanismo de Política de Grupo da Microsoft foi projetado para desabilitar autenticações NTLMv1. Ao definir a chave de registro LMCompatibilityLevel, os administradores esperam que os Controladores de Domínio rejeitem o tráfego NTLMv1 e exijam NTLMv2 ou Kerberos. Em teoria, isso deve eliminar o NTLMv1 de Active Directory ambientes.
BUT SilverfortA equipe de pesquisa da descobriu que essa proteção não é absoluta. Durante nossa análise, identificamos uma falha que permite que aplicativos ignorem a Política de Grupo e continuem enviando solicitações de autenticação NTLMv1. Isso cria um ponto cego perigoso: as organizações podem acreditar que bloquearam o NTLMv1, quando, na realidade, ele ainda persiste, deixando Active Directory expostos a roubo de credenciais, movimentação lateral e escalada de privilégios.
Mergulho técnico profundo: como funciona o bypass NTLMv1
A aplicação das políticas NTLM depende da Protocolo Remoto Netlogon (MS-NRPC), que os servidores de aplicação usam para validar mensagens NTLM com Controladores de Domínio. Uma estrutura fundamental neste processo, INFORMAÇÕES_DE_IDENTIDADE_DE_LOGON_DE_REDE, contém um campo chamado Controle de Parâmetros.
Dentro deste campo, há um sinalizador que permite explicitamente a autenticação NTLMv1 – mesmo que a Política de Grupo esteja configurada para bloqueá-la. Em outras palavras, o controle é tão forte quanto os aplicativos que o respeitam.
Para testar isso, criamos uma aplicação de prova de conceito que simulava um serviço malicioso ou mal configurado. Ao definir o sinalizador ParameterControl, forçamos com sucesso as autenticações NTLMv1. O Controlador de Domínio as aceitou, apesar da Política de Grupo estar configurada para não permitir NTLMv1.
Isso significa que qualquer aplicação – seja por engano ou intencionalmente – ainda pode gerar tráfego NTLMv1, deixando as organizações expostas a riscos ocultos de autenticação. Os invasores que identificam tais aplicações podem explorá-las para interceptar credenciais, realizar ataques de repetição ou retransmissão e se movimentar lateralmente. Active Directory.
Resposta da Microsoft
Quando divulgamos nossas descobertas ao Centro de Resposta de Segurança da Microsoft (MSRC), eles confirmaram o comportamento, mas não o designaram como uma vulnerabilidade de segurança. Em vez disso, a Microsoft tomou medidas proativas, anunciando a remoção completa do NTLMv1. Começando com Windows 11 versão 24H2 e Servidor 2025 do Windows, o NTLMv1 não terá mais suporte.
Essa medida decisiva ressalta a gravidade do risco. Até lá, porém, as organizações permanecem expostas caso dependam exclusivamente da Política de Grupo para bloquear o NTLMv1. Elas devem detectar e mitigar proativamente o uso do NTLMv1 para garantir que invasores não possam explorar essa vulnerabilidade de autenticação.
Recurso gratuito
Roteiro para encerrar aplicativos baseados em NTLM
Este guia para download fornece um roteiro compreensível sobre o que fazer quando você estiver pronto para encerrar completamente os aplicativos baseados em NTLM.
Riscos de segurança da autenticação NTLMv1
Apesar da Microsoft ter descontinuado o NTLMv1, ele continua a representar um sério risco nos sistemas modernos. Active Directory ambientes. Os invasores rastreiam ativamente as redes em busca de tráfego NTLMv1, pois ele fornece um ponto de entrada fácil para:
- roubo de credenciais – Hashes NTLMv1 podem ser interceptados e quebrados offline.
- Ataques de repetição e revezamento – mensagens NTLMv1 interceptadas podem ser reutilizadas para representar usuários em diferentes serviços.
- Movimento lateral e escalada de privilégios – uma vez que os invasores ganham uma posição, eles podem se mover entre sistemas e elevar seus privilégios dentro do AD.
Mesmo quando as organizações acreditam ter bloqueado o NTLMv1 por meio da Política de Grupo, o protocolo frequentemente persiste de forma oculta. Os aplicativos ainda podem solicitar autenticação NTLMv1, e os Controladores de Domínio podem aprová-la sob certas condições. Clientes Windows com LMCompatibilityLevel 3 ou superior não gerarão respostas NTLMv1, mas clientes não Windows permanecem desprotegidos. Na prática, isso significa que muitos ambientes ainda contêm tráfego NTLMv1 – mesmo que os administradores presumam que ele foi eliminado.
Essa persistência torna extremamente difícil comprovar que o NTLMv1 foi totalmente removido. Como resultado, muitas organizações têm uma falsa sensação de segurança, enquanto os invasores continuam a explorar essas autenticações fracas para comprometer Active Directory.
Como mitigar e eliminar o NTLMv1
Até que o NTLMv1 seja totalmente removido pela Microsoft, as organizações precisam tomar medidas proativas para detectar e conter seu uso. Confiar apenas na Política de Grupo não é suficiente – configurações incorretas ocultas e clientes que não são Windows ainda podem gerar tráfego NTLMv1.
Aqui estão as principais ações que toda organização deve tomar:
- Habilitar logs de auditoria para todas as autenticações NTLM em todo o domínio para estabelecer visibilidade total.
- Mapear todos os aplicativos que usam NTLM como método principal ou como alternativa, incluindo sistemas locais e desenvolvidos internamente.
- Detectar aplicativos vulneráveis que ainda solicitam mensagens NTLMv1, especialmente de clientes que não são Windows.
- Aplicar proteções modernas como MFA e controles de acesso baseados em risco em todas as autenticações NTLM para evitar que invasores explorem protocolos fracos.
Silverfort'S Segurança de Identidade A plataforma ajuda as organizações a tomar essas medidas, detectando o tráfego NTLMv1 em tempo real e aplicando controles adaptativos. Com Silverfort, as equipes de segurança podem conter autenticações arriscadas, proteger contas de serviçoe aplicar autenticação moderna sem interromper as operações comerciais.
Quer saber mais? Assista ao nosso webinar on-demand
Se você quiser se aprofundar nos detalhes dessa pesquisa, confira este webinar sob demanda, onde abordamos a descoberta de bypass do NTLMv1 e mostramos maneiras práticas de mitigar autenticações do NTLMv1 na ausência de um patch.
Seminário on-line sob demanda
Revelando vulnerabilidades NTLMv1: riscos e estratégias de mitigação em Active Directory Ambientes.
Roy Akerman
VP de Estratégia de Segurança de Identidade
Dor Segal
Líder da equipe de pesquisa de segurança
Yoad Dvir
Gerente Sênior de Marketing de Produto