Microsoft deja de usar el protocolo de autenticación NTLM de Windows

Microsoft ha dejado oficialmente de usar la autenticación NTLM en Windows y los servidores de Windows, lo que indica que los desarrolladores deben realizar la transición a la autenticación Kerberos o Negotiation para evitar problemas en el futuro.

Nueva tecnología LAN Manager, más conocido como NTLM, es un protocolo de autenticación lanzado por primera vez en 1993 como parte de Windows NT 3.1 y como sucesor del protocolo LAN Manager (LM).

Microsoft dice que los protocolos NTLM, que todavía se usan ampliamente en la actualidad, ya no están en desarrollo activo a partir de junio y se eliminarán gradualmente en favor de alternativas más seguras.

Este movimiento no es sorprendente, ya que Microsoft anunció por primera vez su intención de eliminar el protocolo de autenticación obsoleto en octubre de 2023, instando a los administradores a pasar a Kerberos y otros sistemas de autenticación contemporáneos, como Negotiate.

Se ha abusado ampliamente de NTLM en ciberataques conocidos como ataques 'NTLM Relay', en los que se toman el control de los controladores de dominio de Windows obligándolos a autenticarse contra servidores maliciosos.

A pesar de que Microsoft introdujo nuevas medidas para defenderse de esos ataques, como la firma de seguridad SMB, los ataques a la autenticación NTLM continúan.

Por ejemplo, los hashes de contraseñas aún pueden ser arrebatados y utilizados en ataques de "pasar el hash", obtenidos en ataques de phishing o extraídos directamente de bases de datos robadas de Active Directory o de la memoria de un servidor. A continuación, los atacantes pueden descifrar los hashes para obtener la contraseña de texto sin formato de un usuario.

Aparte del cifrado más débil utilizado en NTLM, en comparación con protocolos más modernos como Kerberos, el rendimiento del protocolo es deficiente, requiere más viajes de ida y vuelta a la red y no es compatible con las tecnologías de inicio de sesión único (SSO).

Dicho todo esto, NTLM se considera muy obsoleto según los estándares de seguridad y autenticación de 2024, por lo que Microsoft lo está desutilizando.

Proceso de eliminación gradual de NTLM

NTLM seguirá funcionando en la próxima versión de Windows Server y en la próxima versión anual de Windows. Aun así, los usuarios y los desarrolladores de aplicaciones deben realizar la transición a 'Negociar', que intenta autenticarse primero con Kerberos y recurre a NTLM solo cuando es necesario.

Microsoft recomienda que los administradores del sistema usen herramientas de auditoría para comprender cómo se usa NTLM en su entorno e identificar todas las instancias que deben tenerse en cuenta al formular un plan de transición.

Para la mayoría de las aplicaciones, la sustitución de NTLM por Negotiate se puede lograr mediante un cambio de una línea en la solicitud "AcquireCredentialsHandle" a la interfaz del proveedor de soporte técnico de seguridad (SSPI). Sin embargo, hay excepciones en las que es posible que se requieran cambios más extensos.

Negotiate tiene una reserva integrada en NTLM para mitigar los problemas de compatibilidad durante el período de transición.

Los administradores atascados con problemas de autenticación pueden consultar la guía de solución de problemas de Kerberos de Microsoft.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta