Cybersecurity News

Zero Day en Windows: Vulnerabilidad en NTLM y su impacto en la seguridad digital

March 25, 2025

Una nueva vulnerabilidad de día cero en Windows ha puesto en evidencia una vulnerabilidad: la filtración de hashes NTLM, un protocolo de autenticación ampliamente utilizado en entornos Windows. Este fallo podría permitir a los atacantes obtener credenciales de usuarios sin necesidad de ejecutar malware avanzado, lo que facilita ataques como Pass-the-Hash o suplantación de identidad.

Este fallo de seguridad afecta a todas las versiones de Windows, desde Windows 7 hasta Windows 11, así como a servidores desde Windows Server 2008 R2 hasta la versión más reciente, Windows Server 2025.

Es importante destacar que, aunque esta vulnerabilidad no se considera crítica y su explotación depende de varios factores como que el atacante ya tenga acceso a la red de la víctima o utilice un servidor externo, como un Exchange público, para retransmitir las credenciales robadas.

¿Qué es la filtración de hashes NTLM?

NTLM (NT LAN Manager) es un protocolo de autenticación en Windows que utiliza hashes en lugar de contraseñas en texto plano. Sin embargo, una vulnerabilidad reciente permite la filtración de estos hashes, exponiendo a los usuarios al riesgo de que sus credenciales sean capturadas y reutilizadas sin necesidad de conocer la contraseña original.

¿Cómo funciona la vulnerabilidad?

Este fallo de seguridad permite que aplicaciones maliciosas o páginas web manipuladas fuercen la divulgación de hashes NTLM cuando un usuario interactúa con ellas. El ataque puede ocurrir de la siguiente manera:

  1. Un atacante engaña al usuario para que abra un enlace o descargue un archivo que desencadena una solicitud de autenticación NTLM.
  2. Windows, al procesar la solicitud, envía automáticamente el hash NTLM sin que el usuario lo note.
  3. El atacante captura el hash y lo reutiliza para acceder a sistemas o recursos restringidos mediante ataques de Pass-the-Hash o relaying de NTLM.

Esto puede ocurrir al abrir una carpeta compartida, un disco USB con un archivo manipulado o al visualizar la carpeta de descargas donde un archivo malicioso fue descargado automáticamente desde una página web controlada por el atacante.

¿Por qué es un problema?
  • No requiere interacción avanzada del usuario: Basta con que el usuario abra un archivo o visite una página comprometida.
  • El hash NTLM puede ser reutilizado en otros sistemas: Los atacantes pueden acceder a recursos internos sin necesidad de descifrar la contraseña.
  • Afecta a cualquier entorno Windows que use NTLM: Esto incluye redes empresariales, servidores y dispositivos individuales.
Recomendaciones para Mitigar la Vulnerabilidad
  • Mantén el sistema actualizado: Es fundamental aplicar las actualizaciones de seguridad tan pronto como estén disponibles. Aunque aún no se ha asignado un CVE-ID a esta vulnerabilidad, actualizar el sistema operativo regularmente garantiza que estés protegido contra cualquier fallo de seguridad conocido.
  • Deshabilita NTLM cuando sea posible: Si tienes la opción, reemplaza NTLM por protocolos más seguros como Kerberos. Esto ayuda a evitar que los atacantes puedan aprovechar los hashes NTLM en caso de un ataque.
  • Implementa autenticación multifactor (MFA): Agregar una capa adicional de seguridad con MFA impide que los atacantes accedan a los sistemas, incluso si obtienen las credenciales NTLM, ya que necesitarían la segunda forma de autenticación.
  • Monitorea el tráfico de red: Configura herramientas de monitoreo para detectar cualquier actividad inusual relacionada con NTLM, como la transmisión inesperada de hashes, lo que podría indicar un intento de ataque.
  • Aplica filtros web y protección contra archivos maliciosos: Utiliza soluciones de filtrado web para bloquear el acceso a sitios maliciosos que puedan intentar explotar esta vulnerabilidad. Además, implementa herramientas de seguridad que bloqueen archivos maliciosos antes de que lleguen a los usuarios.
  • Concienciación y educación en seguridad para usuarios: Realiza campañas de concienciación para que los usuarios comprendan los riesgos de abrir enlaces o descargar archivos de fuentes no confiables, ayudando a prevenir la interacción con contenido malicioso.

 

 

 

Related Posts
Clear Filters
Publicidad maliciosa en la mira: Google bloqueó 5.100 millones de anuncios dañinos
Publicidad maliciosa en la mira: Google bloqueó 5.100 millones de anuncios dañinos
Publicidad maliciosa en la mira: Google bloqueó 5.100 millones de anuncios dañinos
Cybersecurity News
Publicidad maliciosa en la mira: Google bloqueó 5.100 millones de anuncios dañinos

Google refuerza su lucha contra la publicidad maliciosa En su más reciente informe de transparencia, Google reportó la eliminación de…

Read More
Nueva Táctica de Phishing Abusa de IA para Suplantar Inicios de Sesión en SharePoint
Nueva Táctica de Phishing Abusa de IA para Suplantar Inicios de Sesión en SharePoint
Nueva Táctica de Phishing Abusa de IA para Suplantar Inicios de Sesión en SharePoint
Cybersecurity News
Nueva Táctica de Phishing Abusa de IA para Suplantar Inicios de Sesión en SharePoint

Una campaña de phishing sofisticada está aprovechando inteligencia artificial para suplantar páginas de inicio de sesión de Microsoft SharePoint. Utilizando…

Read More
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.
Privacy Policy
You have read and agreed to our privacy policy
Required