Mala configuración permite utilizar NTLMv1 a pesar de las restricciones de Active Directory

Investigadores de ciberseguridad han descubierto que la directiva de grupo de
Active Directory de Microsoft, diseñada para desactivar NT LAN Manager NTLM
v1, se puede eludir fácilmente mediante una configuración incorrecta.

NTLM (NT LAN Manager) es un mecanismo de autenticación antiguo pero
ampliamente utilizado que se ve comúnmente en entornos basados ​​en Windows.
Desarrollado por Microsoft a principios de la década de 1990, alguna vez fue
el estándar para autenticar usuarios en una red, especialmente en Active
Directory de Microsoft.

Sin embargo, a pesar de haber sido reemplazado en gran medida por protocolos
más seguros como Kerberos, NTLM sigue persistiendo en sistemas heredados
debido a los requisitos de compatibilidad con versiones anteriores. A lo largo
de los años se tomaron medidas para fomentar el uso de formas de autenticación
más nuevas y seguras, como bloquear el NTLMv1 heredado en todo el dominio.

El equipo de investigación de
Silverfort descubrió
una nueva forma en la que los atacantes pueden usar NTLMv1 en sus ataques, a
pesar de los esfuerzos por desactivarlo. Mediante una configuración incorrecta
en las aplicaciones locales, los atacantes pueden eludir la Política de grupo
diseñada para detener las autenticaciones NTLMv1.

  • Por qué es importante: el 64% de las cuentas de usuario de Active
    Directory se autentican regularmente con NTLM, a pesar de sus debilidades
    conocidas y de que Microsoft lo ha dejado en desuso. Esta política tiene
    fallas y permite que las autenticaciones NLTMv1 persistan, lo que crea una
    falsa sensación de seguridad y deja a las organizaciones vulnerables. Los
    atacantes saben que NTLMv1 es un protocolo de autenticación débil y lo
    buscan activamente como un método para moverse lateralmente o escalar
    privilegios.
  • A quién afecta: cualquier organización que use aplicaciones
    locales de terceros o de cosecha propia y aquellas que no usen estrictamente
    máquinas Windows. Por ejemplo, si una computadora Mac se conecta a una
    aplicación bancaria, podría verse comprometida.
  • Impacto en las organizaciones: un atacante que se encuentre en una
    red puede ver el tráfico NTLMv1 y descifrar las credenciales de los usuarios
    sin conexión, lo que genera un movimiento lateral y una escalada de
    privilegios.

«Una simple configuración incorrecta en las aplicaciones locales puede
anular la directiva de grupo, anulando de manera efectiva la directiva de
grupo diseñada para detener las autenticaciones NTLMv1»
, dijo el investigador de Silverfort Dor Segal.

NTLM es un mecanismo que todavía se usa ampliamente, particularmente en
entornos Windows, para autenticar usuarios en una red. El protocolo heredado,
si bien no se eliminó debido a los requisitos de compatibilidad con versiones
anteriores,
quedó obsoleto a mediados de 2024.

A fines del año pasado,
Microsoft eliminó oficialmente NTLMv1 a partir de Windows 11, versión 24H2 y Windows Server 2025. Si bien NTLMv2 presenta nuevas
mitigaciones para dificultar la realización de ataques de retransmisión,
la tecnología se ha visto asediada por varias debilidades
de seguridad que han sido
explotadas activamente
por actores de amenazas para acceder a datos confidenciales.

Al explotar estos fallos, la idea es obligar a una víctima a autenticarse en
un punto final arbitrario o transmitir la información de autenticación a un
objetivo susceptible y realizar acciones maliciosas en nombre de la víctima.

«El mecanismo de
directiva de grupo es la solución de Microsoft para desactivar NTLMv1
en toda la red»
, explicó Segal.
«La clave de registro LMCompatibilityLevel impide que los controladores de
dominio evalúen los mensajes NTLMv1 y devuelve un error de contraseña
incorrecta (0xC000006A) al autenticarse con NTLMv1»
.

Sin embargo, la investigación de Silverfort descubrió que es posible eludir la
política de grupo y seguir utilizando la autenticación NTLMv1 aprovechando una
configuración del Protocolo remoto Netlogon (MS-NRPC).

En concreto, aprovecha una estructura de datos denominada
NETLOGON_LOGON_IDENTITY_INFO,
que contiene un campo denominado ParameterControl que, a su vez, tiene
una configuración para
«Permitir la autenticación NTLMv1 (MS-NLMP) cuando solo se permite NTLMv2
(NTLM)»
.

«Esta investigación muestra que las aplicaciones locales se pueden
configurar para habilitar NTLMv1, anulando el nivel más alto de la política
de grupo del nivel de autenticación de LAN Manager establecido en Active
Directory»
, dijo Segal.
«Es decir, las organizaciones creen que están haciendo lo correcto al
establecer esta política de grupo, pero la aplicación mal configurada sigue
omitiendo esta opción».

Para mitigar el riesgo que plantea NTLMv1, es esencial habilitar los registros
de auditoría para todas las autenticaciones NTLM en el dominio y estar atento
a las aplicaciones vulnerables que solicitan a los clientes que utilicen
mensajes NTLMv1. Tampoco hace falta decir que se recomienda a las
organizaciones que mantengan sus sistemas actualizados.

La revelación se produce cuando el investigador de HN Security, Alessandro
Iandoli,
detalló
cómo se podían eludir varias funciones de seguridad en Windows 11 (anteriores
a la versión 24H2) para lograr la ejecución de código arbitrario a nivel de
kernel.

Fuente:
THN

Ver fuente

Related Post