Los investigadores de ciberseguridad han descubierto que la política de grupo de Microsoft Active Directory diseñada para deshabilitar NT LAN Manager (NTLM) v1 puede ignorarse trivialmente mediante una mala configuración.
“Una simple configuración incorrecta en las aplicaciones locales puede anular la Política de grupo, anulando efectivamente la Política de grupo diseñada para detener las autenticaciones NTLMv1”, dijo el investigador de Silverfort, Dor Segal. dicho en un informe compartido con The Hacker News.
NTLM es un mecanismo todavía ampliamente utilizado, especialmente en entornos Windows, para autenticar usuarios en una red. El protocolo heredado, aunque no se eliminó debido a requisitos de compatibilidad con versiones anteriores, quedó obsoleto a mediados de 2024.
A finales del año pasado, Microsoft eliminado oficialmente NTLMv1 a partir de Windows 11, versión 24H2 y Windows Server 2025. Si bien NTLMv2 introduce nuevas mitigaciones para dificultar la realización de ataques de retransmisión, la tecnología se ha visto asediada por varias debilidades de seguridad que han sido explotadas activamente por actores de amenazas para acceder a datos confidenciales.
Al explotar estas fallas, la idea es obligar a la víctima a autenticarse en un punto final arbitrario, o transmitir la información de autenticación a un objetivo susceptible y realizar acciones maliciosas en nombre de la víctima.
“El Mecanismo de política de grupo “Es la solución de Microsoft para deshabilitar NTLMv1 en la red”, explicó Segal. “La clave de registro LMCompatibilityLevel impide que los controladores de dominio evalúen los mensajes NTLMv1 y devuelve un error de contraseña incorrecta (0xC000006A) al autenticarse con NTLMv1”.
Sin embargo, la investigación de Silverfort encontró que es posible eludir la Política de grupo y aún usar la autenticación NTLMv1 aprovechando una configuración en el Protocolo remoto de Netlogon (MS-NRPC).
En concreto, aprovecha una estructura de datos llamado NETLOGON_LOGON_IDENTITY_INFOque contiene un campo llamado ParameterControl que, a su vez, tiene una configuración para “Permitir autenticación NTLMv1 (MS-NLMP) cuando solo se permite NTLMv2 (NTLM)”.
“Esta investigación muestra que las aplicaciones locales se pueden configurar para habilitar NTLMv1, negando el nivel más alto de autenticación de LAN Manager de política de grupo establecido en Active Directory”, dijo Segal.
“Es decir, las organizaciones piensan que están haciendo lo correcto al establecer esta política de grupo, pero la aplicación mal configurada aún la ignora”.
Para mitigar el riesgo que plantea NTLMv1, es esencial habilitar registros de auditoría para toda la autenticación NTLM en el dominio y estar atento a las aplicaciones vulnerables que solicitan a los clientes que utilicen mensajes NTLMv1. También es evidente que se recomienda a las organizaciones que mantengan sus sistemas actualizados.
Los últimos hallazgos siguen una informe del investigador de seguridad Haifei Li sobre un “comportamiento de día cero” en artefactos PDF descubiertos en la naturaleza que podrían filtrarse información local net-NTLM cuando se abren con Adobe Reader o Foxit PDF Reader bajo ciertas condiciones. Foxit Software solucionó el problema con la versión 2024.4 para Windows.
La divulgación también se produce según el investigador de HN Security, Alessandro Iandoli. detallado cómo se podrían omitir varias funciones de seguridad en Windows 11 (anteriores a la versión 24H2) para lograr la ejecución de código arbitrario a nivel del kernel.
About the Author
