Underc0de

Microsoft anunció a principios de esta semana que el protocolo de autenticación NTLM se eliminará en Windows 11 en el futuro.

NTLM (abreviatura de New Technology LAN Manager) es una familia de protocolos que se utilizan para autenticar a los usuarios remotos y proporcionar seguridad de sesión.

Kerberos, otro protocolo de autenticación, ha reemplazado a NTLM y ahora es el protocolo de autenticación predeterminado actual para los dispositivos conectados a un dominio en todas las versiones de Windows anteriores a Windows 2000.

Si bien era el protocolo predeterminado que se usaba en las versiones anteriores de Windows, NTLM todavía se usa hoy en día y, si, por alguna razón, se produce un error en Kerberos, se usará NTLM en su lugar.

Los actores de amenazas han explotado ampliamente NTLM en ataques de retransmisión NTLM en los que obligan a los dispositivos de red vulnerables (incluidos los controladores de dominio) a autenticarse en servidores bajo el control de los atacantes, elevando los privilegios para obtener un control completo sobre el dominio de Windows.

A pesar de esto, NTLM todavía se usa en servidores Windows, lo que permite a los atacantes explotar vulnerabilidades como ShadowCoerce, DFSCoerce, PetitPotam y RemotePotato0, diseñadas para eludir las mitigaciones de ataques de retransmisión NTLM.

NTLM también ha sido blanco de ataques pass-the-hash, en los que los ciberdelincuentes explotan las vulnerabilidades del sistema o despliegan software malicioso para adquirir hashes NTLM, que representan contraseñas hash, de un sistema objetivo.

Una vez en posesión del hash, los atacantes pueden utilizarlo para autenticarse como el usuario comprometido, obteniendo así acceso a datos confidenciales y propagados lateralmente en la red.


Microsoft dice que los desarrolladores ya no deberían usar NTLM en sus aplicaciones desde 2010, y ha estado aconsejando a los administradores de Windows que deshabiliten NTLM o configuren sus servidores para bloquear los ataques de retransmisión NTLM utilizando Active Directory Certificate Services (AD CS).

Sin embargo, Microsoft ahora está trabajando en dos nuevas características de Kerberos: IAKerb (autenticación inicial y de paso a través mediante Kerberos) y KDC local (Centro de distribución de claves locales).

"El KDC local para Kerberos se basa en el Administrador de cuentas de seguridad de la máquina local, por lo que la autenticación remota de las cuentas de usuario locales se puede realizar mediante Kerberos", explicó Matthew Palko de Microsoft.

"Esto aprovecha IAKerb para permitir que Windows pase mensajes Kerberos entre máquinas locales remotas sin tener que agregar soporte para otros servicios empresariales como DNS, netlogon o DCLocator. IAKerb tampoco requiere que abramos nuevos puertos en la máquina remota para aceptar mensajes Kerberos".

Microsoft tiene la intención de introducir las dos nuevas características de Kerberos en Windows 11 para ampliar su uso y abordar dos desafíos importantes que conducen a la reserva de Kerberos a NTLM.

La primera característica, IAKerb, permite a los clientes autenticarse con Kerberos en una gama más amplia de topologías de red. La segunda característica implica un centro de distribución de claves (KDC) local para Kerberos, que amplía la compatibilidad con Kerberos a las cuentas locales.

Redmond también planea ampliar los controles de administración de NTLM, proporcionando a los administradores una mayor flexibilidad para supervisar y restringir el uso de NTLM dentro de sus entornos.

"Reducir el uso de NTLM culminará en última instancia en su desactivación en Windows 11. Estamos adoptando un enfoque basado en datos y monitoreando las reducciones en el uso de NTLM para determinar cuándo será seguro desactivarlo", dijo Palko.

"Mientras tanto, puede usar los controles mejorados que estamos proporcionando para obtener una ventaja. Una vez deshabilitados de forma predeterminada, los clientes también podrán usar estos controles para volver a habilitar NTLM por razones de compatibilidad".

Fuente: https://www.bleepingcomputer.com