{"id":1535515,"date":"2025-01-16T23:16:48","date_gmt":"2025-01-16T23:16:48","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-investigadores-encuentran-un-exploit-que-permite-ntlmv1-a-pesar-de-las-restricciones-de-active-directory\/"},"modified":"2025-01-16T23:16:53","modified_gmt":"2025-01-16T23:16:53","slug":"los-investigadores-encuentran-un-exploit-que-permite-ntlmv1-a-pesar-de-las-restricciones-de-active-directory","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-investigadores-encuentran-un-exploit-que-permite-ntlmv1-a-pesar-de-las-restricciones-de-active-directory\/","title":{"rendered":"Los investigadores encuentran un exploit que permite NTLMv1 a pesar de las restricciones de Active Directory"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>16 de enero de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Directorio Activo\/Vulnerabilidad<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los investigadores de ciberseguridad han descubierto que la pol\u00edtica de grupo de Microsoft Active Directory dise\u00f1ada para deshabilitar NT LAN Manager (NTLM) v1 puede ignorarse trivialmente mediante una mala configuraci\u00f3n.<\/p>\n

“Una simple configuraci\u00f3n incorrecta en las aplicaciones locales puede anular la Pol\u00edtica de grupo, anulando efectivamente la Pol\u00edtica de grupo dise\u00f1ada para detener las autenticaciones NTLMv1”, dijo el investigador de Silverfort, Dor Segal. dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n

NTLM es un mecanismo todav\u00eda ampliamente utilizado, especialmente en entornos Windows, para autenticar usuarios en una red. El protocolo heredado, aunque no se elimin\u00f3 debido a requisitos de compatibilidad con versiones anteriores, qued\u00f3 obsoleto a mediados de 2024.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

A finales del a\u00f1o pasado, Microsoft eliminado oficialmente<\/a> NTLMv1 a partir de Windows 11, versi\u00f3n 24H2 y Windows Server 2025. Si bien NTLMv2 introduce nuevas mitigaciones para dificultar la realizaci\u00f3n de ataques de retransmisi\u00f3n, la tecnolog\u00eda se ha visto asediada por varias debilidades de seguridad que han sido explotadas activamente por actores de amenazas para acceder a datos confidenciales.<\/p>\n

Al explotar estas fallas, la idea es obligar a la v\u00edctima a autenticarse en un punto final arbitrario, o transmitir la informaci\u00f3n de autenticaci\u00f3n a un objetivo susceptible y realizar acciones maliciosas en nombre de la v\u00edctima.<\/p>\n

“El Mecanismo de pol\u00edtica de grupo<\/a> “Es la soluci\u00f3n de Microsoft para deshabilitar NTLMv1 en la red”, explic\u00f3 Segal. “La clave de registro LMCompatibilityLevel impide que los controladores de dominio eval\u00faen los mensajes NTLMv1 y devuelve un error de contrase\u00f1a incorrecta (0xC000006A) al autenticarse con NTLMv1”.<\/p>\n

\"\"<\/a><\/div>\n

Sin embargo, la investigaci\u00f3n de Silverfort encontr\u00f3 que es posible eludir la Pol\u00edtica de grupo y a\u00fan usar la autenticaci\u00f3n NTLMv1 aprovechando una configuraci\u00f3n en el Protocolo remoto de Netlogon (MS-NRPC<\/a>).<\/p>\n

En concreto, aprovecha una estructura de datos<\/a> llamado NETLOGON_LOGON_IDENTITY_INFO<\/a>que contiene un campo llamado ParameterControl que, a su vez, tiene una configuraci\u00f3n para “Permitir autenticaci\u00f3n NTLMv1 (MS-NLMP) cuando solo se permite NTLMv2 (NTLM)”.<\/p>\n

“Esta investigaci\u00f3n muestra que las aplicaciones locales se pueden configurar para habilitar NTLMv1, negando el nivel m\u00e1s alto de autenticaci\u00f3n de LAN Manager de pol\u00edtica de grupo establecido en Active Directory”, dijo Segal.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Es decir, las organizaciones piensan que est\u00e1n haciendo lo correcto al establecer esta pol\u00edtica de grupo, pero la aplicaci\u00f3n mal configurada a\u00fan la ignora”.<\/p>\n

Para mitigar el riesgo que plantea NTLMv1, es esencial habilitar registros de auditor\u00eda para toda la autenticaci\u00f3n NTLM en el dominio y estar atento a las aplicaciones vulnerables que solicitan a los clientes que utilicen mensajes NTLMv1. Tambi\u00e9n es evidente que se recomienda a las organizaciones que mantengan sus sistemas actualizados.<\/p>\n

Los \u00faltimos hallazgos siguen una informe<\/a> del investigador de seguridad Haifei Li sobre un “comportamiento de d\u00eda cero” en artefactos PDF descubiertos en la naturaleza que podr\u00edan filtrarse informaci\u00f3n local net-NTLM<\/a> cuando se abren con Adobe Reader o Foxit PDF Reader bajo ciertas condiciones. Foxit Software solucion\u00f3 el problema con la versi\u00f3n 2024.4 para Windows.<\/p>\n

La divulgaci\u00f3n tambi\u00e9n se produce seg\u00fan el investigador de HN Security, Alessandro Iandoli. detallado<\/a> c\u00f3mo se podr\u00edan omitir varias funciones de seguridad en Windows 11 (anteriores a la versi\u00f3n 24H2) para lograr la ejecuci\u00f3n de c\u00f3digo arbitrario a nivel del kernel.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n