El equipo de investigadores de Varonis Threat Labs ha revelado tres métodos que permiten a los atacantes robar hashes de NTLM v2 y utilizarlos para ataques de fuerza bruta o sustitución de autenticación sin conexión. Cabe destacar que la vulnerabilidad CVE-2023-35636 ha sido corregida, pero los otros dos métodos se consideran riesgos «moderados» por Microsoft y aún no han recibido un parche.
¿Cómo los Atacantes Pueden Explotar los Hashes de NTLM v2 Robados?
El protocolo criptográfico NTLM v2, la versión más reciente del protocolo NTLM, es utilizado por Microsoft Windows para autenticar usuarios en servidores remotos utilizando hash de contraseñas. Los hashes de NTLM v2 robados pueden ser utilizados para ataques de sustitución de autenticación o ataques de fuerza bruta sin conexión en el ordenador del atacante para descifrar el hash de la contraseña. En ambos casos, una entidad maliciosa puede autenticarse como un usuario y obtener acceso a recursos y sistemas empresariales confidenciales.
Dolev Taler explicó: «En ataques de sustitución de autenticación, las solicitudes de autenticación NTLM v2 del usuario son interceptadas y enviadas a otro servidor. El ordenador de la víctima luego envía la respuesta de autenticación al servidor del atacante, y el atacante puede utilizar esta información para autenticarse en el servidor de la víctima prevista.»
Tres Métodos para Obtener Hashes de NTLM v2
Los investigadores de Varonis descubrieron que los hashes de NTLM v2 pueden ser robados mediante:
1. Explotando una vulnerabilidad en Microsoft Outlook.
2. Utilizando el manejo de URIs (es decir, los administradores de protocolos) y WPA (Windows Performance Analyzer, una herramienta utilizada por los desarrolladores de software).
3. Utilizando el programa Windows File Explorer.
Examinaron casos de estos tres escenarios de ataque y notaron que en cada uno de ellos, la víctima sólo necesita hacer clic en un enlace o botón una o dos veces.
Explotar la vulnerabilidad en Outlook es especialmente fácil, utilizando la función de compartir calendario entre usuarios. «El atacante crea una invitación de correo electrónico a la víctima, apuntando a una ruta de archivo ‘.ICS’ que conduce al ordenador controlado por el atacante. Al escuchar en la ruta autónoma (dominio, IP, ruta de carpeta, UNC, etc.), la entidad maliciosa puede obtener paquetes que intenten conectarse a ese recurso», explicó Taler. «Si la víctima hace clic en el botón ‘Abrir este iCal’ en el mensaje, su ordenador intentará descargar el archivo de configuración del ordenador del atacante, revelando el hash de NTLM de la víctima durante la autenticación.»
¿Cómo Proteger los Hashes de NTLM v2 de los Atacantes?
Como se mencionó anteriormente, la vulnerabilidad en Outlook ha sido parcheada por Microsoft en diciembre de 2023, pero las otras dos vulnerabilidades aún existen. «Los sistemas no parcheados siguen siendo vulnerables a intentos de actores malintencionados de robar contraseñas encriptadas utilizando los métodos descritos anteriormente», dijo Taler. Microsoft ha anunciado recientemente esfuerzos en curso para limitar el uso del protocolo NTLM y planea deshabilitarlo por completo en Windows 11.
Mientras tanto, existen varias medidas que las organizaciones pueden implementar para protegerse contra los ataques basados en hashes de NTLM v2, agregó Taler: habilitar la firma SMB (si aún no está habilitada), bloquear la autenticación saliente de NTLM v2 y aplicar la autenticación de Kerberos, y bloquear la autenticación de NTLM v2 a nivel de red y aplicación.