VOLTAR ÀS NOTÍCIAS
Exploits

Vulnerabilidade no Windows 10/11 Expõe Hashes NTLM via Ataque de Spoofing (CVE-2024-21302)

3 min de leituraFonte: Exploit Database

Pesquisadores revelam falha crítica no Windows 10/11 que permite expor hashes NTLM por meio de ataques de spoofing. Saiba como mitigar o risco da CVE-2024-21302.

Vulnerabilidade de Exposição de Hashes NTLM no Windows 10/11 Permite Ataques de Spoofing

Pesquisadores de segurança divulgaram uma vulnerabilidade crítica nos sistemas Windows 10 e 11 que permite a exposição de hashes NTLM por meio de um ataque de spoofing. A falha, registrada como CVE-2024-21302, foi publicada no Exploit Database e representa um risco significativo para empresas que dependem de mecanismos de autenticação do Windows.

Detalhes Técnicos

A vulnerabilidade explora fragilidades no protocolo de autenticação NTLM (NT LAN Manager), um método legado, porém ainda amplamente utilizado em ambientes Windows. Os atacantes podem explorar essa falha para:

  • Falsificar serviços legítimos para enganar usuários e induzi-los a autenticar em um servidor malicioso.
  • Capturar hashes NTLM em trânsito, que podem ser quebrados offline ou utilizados em ataques de pass-the-hash.
  • Contornar controles de segurança que dependem do NTLM para autenticação, incluindo algumas implementações de Single Sign-On (SSO).

O exploit (ID: 52478) não requer privilégios elevados, tornando-o acessível até mesmo para atacantes com poucos recursos. Embora a Microsoft ainda não tenha divulgado um comunicado detalhado, acredita-se que a vulnerabilidade decorra do tratamento inadequado dos mecanismos de challenge-response do NTLM.

Análise de Impacto

A exposição de hashes NTLM representa riscos graves, incluindo:

  • Roubo de Credenciais: Atacantes podem quebrar hashes NTLM para obter senhas em texto claro, especialmente se credenciais fracas ou reutilizadas estiverem em uso.
  • Movimentação Lateral: Hashes comprometidos podem ser usados em ataques de pass-the-hash para se mover lateralmente dentro de uma rede.
  • Escalada de Privilégios: Em ambientes onde o NTLM é utilizado para acesso privilegiado, os atacantes podem escalar suas permissões.
  • Exposição Corporativa: Organizações que utilizam sistemas legados, ambientes híbridos ou integrações de terceiros que dependem do NTLM são particularmente vulneráveis.

Recomendações para Equipes de Segurança

Para mitigar os riscos associados à CVE-2024-21302, os profissionais de segurança devem:

  1. Aplicar Patches da Microsoft: Monitorar e implantar as atualizações de segurança mais recentes da Microsoft que abordem essa vulnerabilidade.
  2. Desativar o NTLM Quando Possível: Migrar para Kerberos ou protocolos de autenticação modernos (como OAuth 2.0 ou SAML) para reduzir a dependência do NTLM.
  3. Impor Assinatura SMB: Exigir assinatura SMB para prevenir ataques de relay que exploram o NTLM.
  4. Implementar Segmentação de Rede: Limitar a movimentação lateral segmentando redes e restringindo o tráfego NTLM.
  5. Monitorar Atividades Suspeitas: Utilizar ferramentas de SIEM para detectar tentativas incomuns de autenticação NTLM ou captura de hashes.
  6. Educar Usuários: Treinar funcionários para reconhecer tentativas de phishing e spoofing que possam desencadear autenticação NTLM.

Próximos Passos

Dada a prevalência do NTLM em ambientes corporativos, as organizações devem priorizar a aplicação de patches e o endurecimento de protocolos. As equipes de segurança são aconselhadas a revisar seus logs de autenticação em busca de sinais de exploração e avaliar sua exposição a ataques baseados em NTLM.

Para mais detalhes, consulte a divulgação original do exploit no Exploit Database.

Compartilhar

TwitterLinkedIn