El equipo de investigadores de Varonis Threat Labs ha revelado tres métodos que permiten a los atacantes robar hashes NTLM v2 y utilizarlos para ataques de fuerza bruta o sustitución de autenticación sin conexión. Cabe destacar que la vulnerabilidad CVE-2023-35636 ha sido corregida, pero los otros dos métodos se consideran riesgos «moderados» por Microsoft y aún no han recibido una solución.
¿Cómo pueden los atacantes aprovechar los hashes NTLM v2 robados?
El protocolo criptográfico NTLM v2, la última versión del protocolo NTLM, se utiliza en Microsoft Windows para autenticar usuarios en servidores remotos utilizando hashes de contraseñas. Los hashes NTLM v2 robados pueden utilizarse para ataques de sustitución de autenticación o ataques de fuerza bruta sin conexión en el ordenador del atacante para descifrar el hash de la contraseña. En ambos casos, una entidad maliciosa puede autenticarse como un usuario y obtener acceso a recursos y sistemas confidenciales de la empresa.
Dolev Taler explicó: «En los ataques de sustitución de autenticación, se interceptan las solicitudes de autenticación NTLM v2 del usuario y se envían a otro servidor. El ordenador de la víctima luego envía la respuesta de autenticación al servidor del atacante, y este puede utilizar esta información para autenticarse en el servidor de la víctima prevista».
Tres Métodos para Obtener Hashes NTLM v2
Los investigadores de Varonis descubrieron que los hashes NTLM v2 se pueden robar mediante:
1. Explotando una vulnerabilidad en Microsoft Outlook.
2. Utilizando el manejo de URI (es decir, gestores de protocolo) y el WPA (Windows Performance Analyzer, una herramienta utilizada por los desarrolladores de software).
3. Utilizando el programa Windows File Explorer.
Examinaron casos de estos tres escenarios de ataque y observaron que en cada uno de ellos, la víctima solo necesita hacer clic en un enlace o botón una o dos veces.
La explotación de la vulnerabilidad en Outlook es particularmente fácil, utilizando la función de compartir calendarios entre usuarios. «El atacante crea una invitación por correo electrónico a la víctima, indicando una ruta de archivo ‘.ICS’ que lleva al ordenador controlado por el atacante. Al escuchar en la ruta controlada por sí mismo (dominio, IP, ruta de carpeta, UNC, etc.), la entidad malintencionada puede obtener los paquetes que intentan conectarse a ese recurso», explicó Taler. «Si la víctima hace clic en el botón ‘Abrir iCal’ en el mensaje, su ordenador intentará descargar el archivo de configuración del ordenador del atacante, revelando el hash NTLM de la víctima durante la autenticación».
¿Cómo proteger los hashes NTLM v2 de los atacantes?
Como se mencionó anteriormente, la vulnerabilidad en Outlook ha sido corregida por Microsoft en diciembre de 2023, pero las otras dos vulnerabilidades siguen existiendo. «Los sistemas sin parches siguen siendo vulnerables a los intentos de actores maliciosos de robar contraseñas cifradas utilizando los métodos descritos anteriormente», dijo Taler. Microsoft ha anunciado recientemente esfuerzos continuos para limitar el uso del protocolo NTLM y planea deshabilitarlo por completo en Windows 11.
Mientras tanto, hay varias medidas que las organizaciones pueden implementar para protegerse contra ataques basados en hashes NTLM v2, agregó Taler: habilitar la firma SMB (si aún no está habilitada), bloquear la autenticación NTLM v2 saliente y hacer cumplir la autenticación Kerberos, y bloquear la autenticación NTLM v2 a nivel de red y aplicación.