Investigadores de Silverfort han identificado un fallo crítico en entornos de Active Directory que permite a los atacantes evadir las directivas de grupo diseñadas para desactivar el inseguro protocolo de autenticación NTLMv1. El descubrimiento revela que, incluso cuando las organizaciones creen haber bloqueado NTLMv1, la mala configuración de aplicaciones locales puede seguir activando el protocolo, dejando una puerta trasera abierta para el robo de credenciales.
Según silverfort.com, la vulnerabilidad reside en la forma en que ciertas aplicaciones interactúan con el LAN Manager de las Directivas de Grupo. Aunque muchas empresas utilizan estas políticas para mitigar los riesgos de NTLMv1, la investigación demuestra que aplicaciones locales, ya sean de terceros o personalizadas, pueden estar configuradas para solicitar la autenticación NTLMv1, eludiendo así las restricciones de seguridad.
Esta evasión proporciona una vía para el movimiento lateral y la escalada de privilegios dentro de una red. Un atacante que ya haya logrado acceso a una red puede interceptar el tráfico NTLMv1 y descifrar las credenciales de los usuarios de forma fuera de línea. Esta vulnerabilidad es especialmente peligrosa para organizaciones que utilizan una mezcla de dispositivos, como ordenadores Mac que se conectan a aplicaciones bancarias, las cuales podrían depender de estos protocolos heredados.
Los datos indican que más del 64 % de las cuentas de usuario de Active Directory todavía se autentican regularmente mediante protocolos NTLM a pesar de sus debilidades conocidas. Los investigadores de Silverfort señalaron que esto crea una "falsa sensación de seguridad", dejando a las empresas desprotegidas frente a las cadenas de ataque modernas.
Microsoft se prepara para eliminar NTLMv1
Tras la revelación, el Centro de Respuesta de Seguridad de Microsoft (MSRC) ha tomado medidas proactivas para abordar la eliminación del protocolo. Aunque los investigadores señalaron que la evasión en sí misma no constituye una vulnerabilidad de seguridad directa, Microsoft ha anunciado la eliminación completa de NTLMv1. Este proceso de retirada comenzará con Windows 11 Versión 24H2 y Windows Server 2025.
Hasta que estas actualizaciones se implementen por completo, los expertos en seguridad recomiendan que las organizaciones supervisen todos los registros de autenticación NTLM dentro de sus dominios. El equipo de investigación sugiere mapear todas las aplicaciones que utilizan NTLM como método principal o de respaldo para identificar los clientes vulnerables.
Silverfort recomienda proteger el tráfico NTLM con métodos de autenticación modernos para evitar que los atacantes exploten estos mensajes de autenticación heredados. Actualmente, la compañía está trabajando con sus clientes para detectar el uso de NTLMv1 y aplicar perímetros basados en el riesgo para reducir la probabilidad de un compromiso de seguridad.
