{"id":1068408,"date":"2023-11-29T01:52:20","date_gmt":"2023-11-29T01:52:20","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-pueden-aprovechar-la-autenticacion-forzada-para-robar-tokens-ntlm-de-windows\/"},"modified":"2023-11-29T01:52:24","modified_gmt":"2023-11-29T01:52:24","slug":"los-piratas-informaticos-pueden-aprovechar-la-autenticacion-forzada-para-robar-tokens-ntlm-de-windows","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-pueden-aprovechar-la-autenticacion-forzada-para-robar-tokens-ntlm-de-windows\/","title":{"rendered":"Los piratas inform\u00e1ticos pueden aprovechar la &#8216;autenticaci\u00f3n forzada&#8217; para robar tokens NTLM de Windows"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">28 de noviembre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Ciberataque \/ Vulnerabilidad<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Los-piratas-informaticos-pueden-aprovechar-la-autenticacion-forzada-para-robar.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Investigadores de ciberseguridad han descubierto un caso de &#8220;autenticaci\u00f3n forzada&#8221; que podr\u00eda explotarse para filtrar los tokens NT LAN Manager (NTLM) de un usuario de Windows enga\u00f1ando a la v\u00edctima para que abra un archivo Microsoft Access especialmente dise\u00f1ado.<\/p>\n<p>El ataque aprovecha una caracter\u00edstica leg\u00edtima de la soluci\u00f3n del sistema de gesti\u00f3n de bases de datos que permite a los usuarios <a rel=\"nofollow noopener\" href=\"https:\/\/support.microsoft.com\/en-au\/office\/import-or-link-to-data-in-an-sql-server-database-a5a3b4eb-57b9-45a0-b732-77bc6089b84e\" target=\"_blank\">enlace a fuentes de datos externas<\/a>como una tabla remota de SQL Server.<\/p>\n<p>&#8220;Los atacantes pueden abusar de esta caracter\u00edstica para filtrar autom\u00e1ticamente los tokens NTLM del usuario de Windows a cualquier servidor controlado por el atacante, a trav\u00e9s de cualquier puerto TCP, como el puerto 80&#8221;, dijo el investigador de seguridad de Check Point, Haifei Li. <a rel=\"nofollow noopener\" href=\"https:\/\/research.checkpoint.com\/2023\/abusing-microsoft-access-linked-table-feature-to-perform-ntlm-forced-authentication-attacks\/\" target=\"_blank\">dicho<\/a>.  &#8220;El ataque puede iniciarse siempre que la v\u00edctima abra un archivo .accdb o .mdb. De hecho, cualquier tipo de archivo de Office m\u00e1s com\u00fan (como un .rtf) tambi\u00e9n puede funcionar&#8221;.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/4WnFxcNN\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Los-expertos-advierten-sobre-piratas-informaticos-de-ransomware-que-explotan.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>NTLM, un protocolo de autenticaci\u00f3n introducido por Microsoft en 1993, es un protocolo de desaf\u00edo-respuesta que se utiliza para autenticar a los usuarios durante el inicio de sesi\u00f3n.  A lo largo de los a\u00f1os, se ha descubierto que es vulnerable a ataques de fuerza bruta, pase de hash y retransmisi\u00f3n.<\/p>\n<p>El \u00faltimo ataque, en pocas palabras, abusa de la funci\u00f3n de tabla vinculada en Access para filtrar los hashes NTLM a un servidor controlado por un actor al incrustar un archivo .accdb con un v\u00ednculo remoto de base de datos de SQL Server dentro de un documento de MS Word utilizando un mecanismo llamado Objeto. Vinculaci\u00f3n e incrustaci\u00f3n (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/cpp\/mfc\/ole-background\" target=\"_blank\">VIEJO<\/a>).<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/1701222740_717_Los-piratas-informaticos-pueden-aprovechar-la-autenticacion-forzada-para-robar.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/1701222740_717_Los-piratas-informaticos-pueden-aprovechar-la-autenticacion-forzada-para-robar.jpg\" alt=\"Fichas NTLM\" border=\"0\" data-original-height=\"350\" data-original-width=\"728\" title=\"Fichas NTLM\"\/><\/a><\/div>\n<p>&#8220;Un atacante puede configurar un servidor que controle, escuchando en el puerto 80, y poner su direcci\u00f3n IP en el campo &#8216;alias de servidor&#8217; de arriba&#8221;, explic\u00f3 Li.  &#8220;Luego pueden enviar el archivo de la base de datos, incluida la tabla vinculada, a la v\u00edctima&#8221;.<\/p>\n<p>Si la v\u00edctima abre el archivo y hace clic en la tabla vinculada, el cliente v\u00edctima se pone en contacto con el servidor controlado por el atacante para autenticarse, lo que le permite a este \u00faltimo realizar un ataque de retransmisi\u00f3n iniciando un proceso de autenticaci\u00f3n con un servidor NTLM objetivo en la misma organizaci\u00f3n.<\/p>\n<p>Luego, el servidor fraudulento recibe el desaf\u00edo, lo pasa a la v\u00edctima como parte del proceso de autenticaci\u00f3n y obtiene una respuesta v\u00e1lida, que finalmente se transmite al servidor NTLM.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pjHvTZON\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Alerta-F5-advierte-sobre-ataques-activos-que-aprovechan-la-vulnerabilidad.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Si bien desde entonces Microsoft ha publicado mitigaciones para el problema en la versi\u00f3n de Office\/Access (Canal actual, versi\u00f3n 2306, compilaci\u00f3n 16529.20182) luego de la divulgaci\u00f3n responsable en enero de 2023, 0patch ha <a rel=\"nofollow noopener\" href=\"https:\/\/blog.0patch.com\/2023\/11\/free-micropatches-for-microsoft-access.html\" target=\"_blank\">liberado<\/a> Correcciones no oficiales para Office 2010, Office 2013, Office 2016, Office 2019 y Office 365.<\/p>\n<p>El desarrollo tambi\u00e9n se produce cuando Microsoft anunci\u00f3 planes para descontinuar NTLM en Windows 11 en favor de Kerberos para mejorar la seguridad.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/11\/hackers-can-exploit-forced.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80228 de noviembre de 2023\ue804Sala de redacci\u00f3nCiberataque \/ Vulnerabilidad Investigadores de ciberseguridad han descubierto un caso de &#8220;autenticaci\u00f3n<\/p>\n","protected":false},"author":1,"featured_media":1068409,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4921,4661,33384,4664,4662,14402,6214,4668,201033,36,4654,201031,4659,4653,4655,80890,18,6213,1125,26365,4666,4665,201032,50202,4660,20385],"class_list":["post-1068408","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-aprovechar","tag-ataques-ciberneticos","tag-autenticacion","tag-como-hackear","tag-filtracion-de-datos","tag-forzada","tag-informaticos","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-los","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-ntlm","tag-para","tag-piratas","tag-pueden","tag-robar","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-tokens","tag-vulnerabilidad-de-software","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1068408","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1068408"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1068408\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1068409"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1068408"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1068408"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1068408"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}