O protocolo criptográfico NTLM v2, a versão mais recente do protocolo NTLM, é utilizado pelo Microsoft Windows para autenticar usuários em servidores remotos usando hashes de senha. Os NTLM v2 hashes roubados podem ser utilizados para ataques de autenticação substituta ou para ataques de força bruta offline no computador do atacante, com o objetivo de descriptografar o hash da senha. Em ambos os casos, uma entidade maliciosa pode se autenticar como um usuário e obter acesso a recursos e sistemas confidenciais da empresa.
Dolev Taler explicou: “Nos ataques de autenticação substituta, as solicitações de autenticação NTLM v2 do usuário são interceptadas e encaminhadas para outro servidor. O computador da vítima então envia a resposta de autenticação para o servidor do atacante, e o atacante pode usar essas informações para se autenticar no servidor da vítima pretendida.”
Três Métodos para Obter NTLM v2 Hashes
Os pesquisadores da Varonis descobriram que os NTLM v2 hashes podem ser roubados por meio de:
1. Explorar uma vulnerabilidade no Microsoft Outlook.
2. Utilizar o manuseio de URIs (ou seja, gerenciadores de protocolos) e o WPA (Windows Performance Analyzer, uma ferramenta usada por desenvolvedores de software).
3. Utilizar o programa Windows File Explorer.
Eles examinaram casos desses três cenários de ataque e observaram que, em cada um deles, a vítima só precisa clicar em um link ou botão uma ou duas vezes.
A exploração da vulnerabilidade no Outlook é particularmente fácil, usando o recurso de compartilhamento de calendário entre os usuários. “O atacante cria um convite de e-mail para a vítima, apontando para um caminho de arquivo ‘.ICS’ que leva ao computador controlado pelo atacante. Ao ouvir no caminho autocontrolado (domínio, IP, caminho da pasta, UNC etc.), a entidade maliciosa pode obter pacotes tentando se conectar a esse recurso”, explicou Taler. “Se a vítima clicar no botão ‘Abrir este iCal’ na mensagem, seu computador tentará baixar o arquivo de configuração do computador do atacante, revelando o NTLM hash da vítima durante a autenticação.”
Como Proteger os NTLM v2 Hashes de Atacantes?
Como mencionado anteriormente, a vulnerabilidade no Outlook foi corrigida pela Microsoft em dezembro de 2023, mas as outras duas vulnerabilidades ainda existem. “Sistemas não corrigidos permanecem vulneráveis a tentativas de atores maliciosos de roubar senhas criptografadas usando os métodos descritos acima”, disse Taler. A Microsoft anunciou recentemente esforços contínuos para limitar o uso do protocolo NTLM e planeja desabilitá-lo completamente no Windows 11.
Enquanto isso, existem várias medidas que as organizações podem implementar para se proteger contra ataques baseados em NTLM v2 hashes, acrescentou Taler: ativar a assinatura SMB (se ainda não estiver ativada), bloquear a autenticação NTLM v2 de saída e aplicar a autenticação Kerberos, e bloquear a autenticação NTLM v2 nos níveis de rede e aplicação.
FAQ
The source of the article is from the blog maestropasta.cz