Él y sus colegas de Varonis Threat Labs han revelado dos formas adicionales en que los atacantes pueden obtener los hashes NTLM v2 de los usuarios y usarlos para ataques de retransmisión de autenticación o de fuerza bruta fuera de línea.
Si bien CVE-2023-35636 se ha solucionado, Microsoft considera que las otras dos vulnerabilidades son de gravedad “moderada” y no se han parchado.
¿Cómo pueden los atacantes utilizar (mal) hashes NTLM v2 robados?
Microsoft Windows utiliza NTLM v2, la iteración más actual del protocolo criptográfico NTLM, para autenticar usuarios en servidores remotos mediante hashes de contraseña.
Los hash de contraseña NTLM v2 comprometidos se pueden usar en ataques de retransmisión de autenticación o se pueden aplicar fuerza bruta (fuera de línea, en la máquina de un atacante) para revelar la contraseña hash.
En ambos casos, el actor de la amenaza puede autenticarse como usuario y acceder a sistemas y recursos empresariales confidenciales.
“En los ataques de retransmisión de autenticación, las solicitudes de autenticación NTLM v2 realizadas por el usuario son interceptadas y reenviadas a un servidor diferente. La máquina de la víctima luego enviará la respuesta de autenticación al servidor del atacante, y el atacante puede usar esa información para autenticarse en el servidor previsto de la víctima”, explicó Taler.
Tres formas de obtener hashes NTLM v2
Los investigadores de Varonis han descubierto que los hashes NTLM v2 se pueden sacar de contrabando:
- Explotando vulnerabilidades en Microsoft Outlook
- Mediante el uso de controladores URI (es decir, controladores de protocolo) y WPA ( Windows Performance Analyzer , una herramienta utilizada por los desarrolladores de software), y
- Usando el Explorador de archivos de Windows
Compartieron exploits PoC para las tres rutas de ataque y señalaron que en los tres escenarios de ataque la víctima solo necesita hacer clic una o dos veces en un enlace o botón.
La vulnerabilidad de Outlook, en particular, es fácil de explotar aprovechando la capacidad del software para compartir calendarios entre usuarios.
“Un atacante elabora una invitación por correo electrónico para la víctima, señalando la ruta del archivo ‘.ICS’ a la máquina controlada por el atacante. Al ‘escuchar’ una ruta autocontrolada (dominio, IP, ruta de carpeta, UNC, etc.), el actor de amenazas puede obtener paquetes de intentos de conexión que contienen el hash utilizado para intentar acceder a este recurso”, señaló Taler .
«Si la víctima hace clic en el botón ‘Abrir este iCal’ dentro del mensaje, su máquina intentará recuperar el archivo de configuración en la máquina del atacante, exponiendo el hash NTLM de la víctima durante la autenticación».
Cómo mantener los hashes NTLM v2 fuera del alcance de los atacantes
Como se señaló anteriormente, Microsoft solucionó la vulnerabilidad de Outlook en diciembre de 2023, pero las dos restantes todavía están presentes.
«Los sistemas sin parches siguen siendo vulnerables a los actores de amenazas que intentan robar contraseñas cifradas con estos métodos», dijo Taler.
Microsoft ha explicado recientemente su esfuerzo continuo para reducir el uso de NTLM y planea desactivarlo por completo en Windows 11.
Mientras tanto, hay varias formas en que las organizaciones pueden protegerse contra los ataques NTLM v2, agregó Taler: activando la firma SMB (si aún no está activada, de forma predeterminada), bloqueando la autenticación NTLM v2 saliente y forzando la autenticación Kerberos siempre que sea posible. posible y bloqueando NTLM v2 tanto en la red como en el nivel de aplicación.
Fuente y redacción: helpnetsecurity.com
