Microsoft implementó un cambio de seguridad crucial en File Explorer (anteriormente conocido como Windows Explorer) con los parches de octubre de 2025. El programa ahora bloquea automáticamente la vista previa (panel de vista previa) de los archivos descargados desde Internet o aquellos marcados con la “Mark of the Web (MotW)”.
El Riesgo Oculto: Robo de Hash NTLM por Vista Previa
La medida es una defensa proactiva contra una vulnerabilidad que permitiría a un archivo malicioso, al ser simplemente previsualizado, provocará que el sistema envíe un hash de autenticación NTLM a un servidor controlado por el atacante.
Mecanismo de la Falla
- Vector: La vulnerabilidad explotaba archivos que contenían etiquetas HTML embebidas (<link>, <src>) que apuntaban a servidores externos controlados por el atacante.
- Fuga de Credenciales: Al seleccionar el archivo, el panel de vista previa procesaba el HTML, lo que forzaba al sistema a iniciar solicitudes de red que automáticamente incluían las credenciales NTLM del usuario (el hash). Este hash robado podía facilitar un ataque de pass-the-hash para obtener acceso privilegiado.
- Archivos Afectados: La protección se aplica a cualquier archivo con la marca MotW, que Windows adjunta a los archivos descargados de Internet, recibidos por correo electrónico o provenientes de una zona de red compartida considerada no segura.
Implicaciones de Alto Impacto
- Vector Silencioso: La vista previa es una funcionalidad cotidiana. El hecho de que pudiera usarse para robar hashes NTLM sin que el usuario abriera o ejecutara el malware lo convierte en un vector de alto impacto.
- Riesgo NTLM: Los hashes NTLM siguen siendo un componente crítico en muchas redes corporativas. Un hash robado puede permitir movimiento lateral y escalada de privilegios dentro de la red.
- Medida Proactiva: Microsoft desactivó la funcionalidad para archivos riesgosos por defecto, lo que reduce la ventana de ataque para organizaciones que tardan en aplicar parches.
Recomendaciones
Para Administradores de TI / Equipos de Seguridad
- Verificar Actualización Crítica: Asegurarse de que todos los sistemas Windows tengan instaladas las actualizaciones de seguridad de octubre de 2025 o posteriores que habiliten este cambio.
- Monitoreo NTLM Saliente: Mantener el monitoreo de tráfico NTLM saliente inusual desde estaciones de trabajo. Aunque la vista previa esté bloqueada, el vector original podría integrarse con otros métodos.
- GPO y EDR: Configurar Políticas de Grupo (GPO) o reglas EDR que alertan cuando se selecciona un archivo marcado con MotW y se intenta abrir o ejecutar de forma no habitual.
- Gestión de Productividad: Comunicar al personal que la vista previa estará deshabilitada para ciertos archivos por motivos de seguridad. Prepare guías para “desbloquear” el archivo de forma segura solo cuando su origen sea 100% confiable.
Para Usuarios Finales
- No Ignorar la Advertencia: Si aparece un mensaje de advertencia en File Explorer, no la ignore. Solo “Desbloquear” el archivo (en Propiedades) si confías plenamente en su origen.
- Verificación de Origen: Evitar ejecutar o abrir archivos descargados de internet sin verificar su procedencia. Utilizar vista previa alternativa (por ejemplo, en un sandbox) si se necesita confirmar el contenido.
- Desactivación Adicional: Considere desactivar o limitar la funcionalidad de vista previa en entornos altamente sensibles o estaciones de trabajo con acceso a datos críticos como medida adicional de seguridad.
