VOLVER A NOTICIAS
Exploits

Vulnerabilidad en Windows 10/11 Expone Hashes NTLM mediante Ataque de Suplantación (CVE-2024-21302)

3 min de lecturaFuente: Exploit Database

Investigadores descubren una falla crítica en Windows 10/11 que permite exponer hashes NTLM mediante suplantación. Aprende cómo mitigar el riesgo de CVE-2024-21302.

Vulnerabilidad de Divulgación de Hashes NTLM en Windows 10/11 Permite Ataques de Suplantación

Investigadores en ciberseguridad han revelado una vulnerabilidad crítica en Windows 10 y 11 que permite a los atacantes exponer hashes NTLM mediante un ataque de suplantación (spoofing). La falla, identificada como CVE-2024-21302, fue publicada en Exploit Database y representa un riesgo significativo para empresas que dependen de los mecanismos de autenticación de Windows.

Detalles Técnicos

La vulnerabilidad explota debilidades en el protocolo de autenticación NTLM (NT LAN Manager), un método heredado pero aún ampliamente utilizado para la autenticación en redes en entornos Windows. Los atacantes pueden aprovechar esta falla para:

  • Suplantar servicios legítimos y engañar a los usuarios para que se autentiquen en un servidor malicioso.
  • Capturar hashes NTLM en tránsito, los cuales pueden ser descifrados fuera de línea o utilizados en ataques de paso de hash (pass-the-hash).
  • Eludir controles de seguridad que dependen de NTLM para la autenticación, incluyendo algunas implementaciones de Inicio de Sesión Único (SSO).

El exploit (ID: 52478) no requiere privilegios elevados, lo que lo hace accesible para atacantes con bajos niveles de acceso. Aunque Microsoft no ha publicado un aviso detallado, se cree que la vulnerabilidad proviene de un manejo inadecuado de los mecanismos de desafío-respuesta de NTLM.

Análisis de Impacto

La divulgación de hashes NTLM conlleva riesgos graves, entre los que se incluyen:

  • Robo de Credenciales: Los atacantes pueden descifrar hashes NTLM para obtener contraseñas en texto plano, especialmente si se utilizan credenciales débiles o reutilizadas.
  • Movimiento Lateral: Los hashes comprometidos pueden ser utilizados en ataques de paso de hash para moverse lateralmente dentro de una red.
  • Escalada de Privilegios: En entornos donde NTLM se utiliza para acceso privilegiado, los atacantes podrían escalar sus permisos.
  • Exposición Empresarial: Las organizaciones que utilizan sistemas heredados, entornos híbridos o integraciones de terceros que dependen de NTLM son particularmente vulnerables.

Recomendaciones para Equipos de Seguridad

Para mitigar los riesgos asociados con CVE-2024-21302, los profesionales de ciberseguridad deben:

  1. Aplicar Parches de Microsoft: Monitorear y desplegar las últimas actualizaciones de seguridad de Microsoft que aborden esta vulnerabilidad.
  2. Deshabilitar NTLM Cuando Sea Posible: Transicionar a Kerberos o protocolos de autenticación modernos (por ejemplo, OAuth 2.0, SAML) para reducir la dependencia de NTLM.
  3. Habilitar la Firma SMB: Requerir firma SMB para prevenir ataques de relay que exploten NTLM.
  4. Implementar Segmentación de Red: Limitar el movimiento lateral mediante la segmentación de redes y la restricción del tráfico NTLM.
  5. Monitorear Actividad Sospechosa: Utilizar herramientas SIEM para detectar intentos inusuales de autenticación NTLM o capturas de hashes.
  6. Educar a los Usuarios: Capacitar a los empleados para reconocer intentos de phishing y suplantación que podrían desencadenar autenticaciones NTLM.

Próximos Pasos

Dada la prevalencia de NTLM en entornos empresariales, las organizaciones deben priorizar la aplicación de parches y el endurecimiento de protocolos. Se recomienda a los equipos de seguridad revisar sus registros de autenticación en busca de signos de explotación y evaluar su exposición a ataques basados en NTLM.

Para más detalles, consulta la divulgación original del exploit en Exploit Database.

Compartir

TwitterLinkedIn