Underc0de - La Casa de los Informáticos

Microsoft ha anunciado oficialmente que desactivará por defecto el protocolo de autenticación NTLM (New Technology LAN Manager) en las próximas versiones de Windows y Windows Server, poniendo fin a más de tres décadas de uso de un mecanismo heredado que ha sido ampliamente explotado por actores maliciosos en ciberataques contra organizaciones de todo el mundo.

Esta decisión marca un cambio estratégico clave en la seguridad de los entornos Windows, alineado con la transición hacia autenticación sin contraseña, resistente al phishing y basada en Kerberos, y supone un paso decisivo para reducir la superficie de ataque en dominios corporativos.

Qué es NTLM y por qué representa un riesgo de seguridad

NTLM es un protocolo de autenticación de desafío-respuesta introducido en 1993 con Windows NT 3.1 como sucesor del antiguo LAN Manager (LM). Aunque fue diseñado para una época en la que las amenazas eran muy limitadas, su arquitectura criptográfica ha quedado obsoleta frente a los estándares actuales.

Desde Windows 2000, Kerberos reemplazó a NTLM como protocolo de autenticación por defecto en dispositivos unidos a dominio. Sin embargo, NTLM ha seguido utilizándose durante años como método de respaldo cuando Kerberos no está disponible, una práctica que ha generado graves problemas de seguridad.

El principal inconveniente de NTLM es que no ofrece protección adecuada contra ataques modernos, carece de verificación mutua robusta y permite múltiples técnicas de abuso ampliamente documentadas.

NTLM y su explotación en ataques reales

A lo largo de los años, NTLM ha sido uno de los vectores favoritos de los atacantes en redes Windows empresariales. Entre los ataques más comunes destacan:

Ataques de retransmisión NTLM (NTLM Relay)

En este tipo de ataque, los actores maliciosos fuerzan a un sistema legítimo a autenticarse contra un servidor controlado por el atacante, reutilizando esa autenticación para escalar privilegios o comprometer servicios críticos.

NTLM ha sido explotado mediante técnicas como:

• PetitPotam
• ShadowCoerce
• DFSCoerce
• RemotePotato0

Estas vulnerabilidades permiten eludir mitigaciones parciales y tomar el control completo de un dominio Windows, incluso en entornos aparentemente bien configurados.

Ataques de Pass-the-Hash

NTLM también es especialmente vulnerable a ataques de paso de hash, donde los atacantes roban los hashes NTLM de memoria o disco y los reutilizan para autenticarse como el usuario comprometido sin necesidad de conocer la contraseña en texto plano.

Esta técnica facilita:

• Movimiento lateral
• Robo de credenciales
• Acceso persistente
• Exfiltración de datos sensibles

En muchos incidentes de ransomware y espionaje corporativo, NTLM ha sido el eslabón débil inicial.

Microsoft bloquea NTLM por defecto: un cambio histórico

Como parte de un impulso más amplio hacia métodos de autenticación modernos y resistentes al phishing, Microsoft confirmó que NTLM será deshabilitado por defecto en la próxima gran versión de Windows Server y en las versiones de cliente asociadas.

Citar"Desactivar NTLM por defecto no significa eliminar completamente NTLM de Windows todavía", aclaró Microsoft.
"Significa que Windows se entregará en un estado seguro por defecto, donde la autenticación NTLM de red está bloqueada y ya no se usa automáticamente".

Esto implica que el sistema operativo priorizará Kerberos y otros mecanismos más seguros, reduciendo drásticamente la exposición a ataques conocidos.

Plan de transición de NTLM: tres fases clave

Para minimizar el impacto en organizaciones que aún dependen de NTLM, Microsoft ha diseñado un plan de transición en tres fases:

Fase 1: Auditoría y visibilidad

Disponible en Windows 11 24H2 y Windows Server 2025, esta fase introduce herramientas de auditoría mejoradas que permiten a los administradores identificar con precisión:

• Dónde se sigue usando NTLM
• Qué aplicaciones o servicios dependen de él
• Qué cuentas y sistemas lo invocan

Esta etapa es crítica para planificar una migración controlada.

Fase 2: Eliminación de retrocesos a NTLM

Prevista para la segunda mitad de 2026, esta fase incorporará nuevas capacidades como:

• IAKerb
• KDC Local (Centro Local de Distribución de Claves)

Estas tecnologías están diseñadas para resolver escenarios comunes que hoy fuerzan el uso de NTLM, permitiendo mantener compatibilidad sin comprometer la seguridad.

Fase 3: NTLM desactivado por defecto

En la fase final, la autenticación NTLM de red quedará bloqueada por defecto en futuras versiones de Windows. Aunque el protocolo seguirá presente por compatibilidad, solo podrá reactivarse explícitamente mediante políticas de seguridad, lo que refuerza el principio de secure by default.

Una retirada anunciada desde hace años

Este movimiento no es inesperado. Microsoft:

• Anunció la retirada progresiva de NTLM en octubre de 2023
• Desaconsejó oficialmente su uso en julio de 2024

Lleva desde 2010 recomendando a desarrolladores y administradores que migren a Kerberos o Negotiate[/b][/color]

Además, ha instado repetidamente a bloquear ataques de retransmisión NTLM mediante AD CS, aunque ahora reconoce que la única solución real es dejar de usar NTLM.

Qué deben hacer las organizaciones ahora

La desactivación por defecto de NTLM obliga a las empresas a:

• Auditar dependencias heredadas
• Actualizar aplicaciones antiguas
• Revisar configuraciones de Active Directory

• Adoptar autenticación moderna y sin contraseña

Las organizaciones que no actúen con antelación podrían enfrentarse a interrupciones operativas o brechas de seguridad evitables.

Fuente: https://www.bleepingcomputer.com/