Investigadores de ciberseguridad han descubierto que la directiva de grupo de Active Directory de Microsoft, diseñada para desactivar NT LAN Manager NTLM v1, se puede eludir fácilmente mediante una configuración incorrecta.
NTLM (NT LAN Manager) es un mecanismo de autenticación antiguo pero ampliamente utilizado que se ve comúnmente en entornos basados en Windows. Desarrollado por Microsoft a principios de la década de 1990, alguna vez fue el estándar para autenticar usuarios en una red, especialmente en Active Directory de Microsoft.
Sin embargo, a pesar de haber sido reemplazado en gran medida por protocolos más seguros como Kerberos, NTLM sigue persistiendo en sistemas heredados debido a los requisitos de compatibilidad con versiones anteriores. A lo largo de los años se tomaron medidas para fomentar el uso de formas de autenticación más nuevas y seguras, como bloquear el NTLMv1 heredado en todo el dominio.
El equipo de investigación de Silverfort descubrió una nueva forma en la que los atacantes pueden usar NTLMv1 en sus ataques, a pesar de los esfuerzos por desactivarlo. Mediante una configuración incorrecta en las aplicaciones locales, los atacantes pueden eludir la Política de grupo diseñada para detener las autenticaciones NTLMv1.
- Por qué es importante: el 64% de las cuentas de usuario de Active Directory se autentican regularmente con NTLM, a pesar de sus debilidades conocidas y de que Microsoft lo ha dejado en desuso. Esta política tiene fallas y permite que las autenticaciones NLTMv1 persistan, lo que crea una falsa sensación de seguridad y deja a las organizaciones vulnerables. Los atacantes saben que NTLMv1 es un protocolo de autenticación débil y lo buscan activamente como un método para moverse lateralmente o escalar privilegios.
- A quién afecta: cualquier organización que use aplicaciones locales de terceros o de cosecha propia y aquellas que no usen estrictamente máquinas Windows. Por ejemplo, si una computadora Mac se conecta a una aplicación bancaria, podría verse comprometida.
- Impacto en las organizaciones: un atacante que se encuentre en una red puede ver el tráfico NTLMv1 y descifrar las credenciales de los usuarios sin conexión, lo que genera un movimiento lateral y una escalada de privilegios.
"Una simple configuración incorrecta en las aplicaciones locales puede anular la directiva de grupo, anulando de manera efectiva la directiva de grupo diseñada para detener las autenticaciones NTLMv1", dijo el investigador de Silverfort Dor Segal.
NTLM es un mecanismo que todavía se usa ampliamente, particularmente en entornos Windows, para autenticar usuarios en una red. El protocolo heredado, si bien no se eliminó debido a los requisitos de compatibilidad con versiones anteriores, quedó obsoleto a mediados de 2024.
A fines del año pasado, Microsoft eliminó oficialmente NTLMv1 a partir de Windows 11, versión 24H2 y Windows Server 2025. Si bien NTLMv2 presenta nuevas mitigaciones para dificultar la realización de ataques de retransmisión, la tecnología se ha visto asediada por varias debilidades de seguridad que han sido explotadas activamente por actores de amenazas para acceder a datos confidenciales.
Al explotar estos fallos, la idea es obligar a una víctima a autenticarse en un punto final arbitrario o transmitir la información de autenticación a un objetivo susceptible y realizar acciones maliciosas en nombre de la víctima.
"El mecanismo de directiva de grupo es la solución de Microsoft para desactivar NTLMv1 en toda la red", explicó Segal. "La clave de registro LMCompatibilityLevel impide que los controladores de dominio evalúen los mensajes NTLMv1 y devuelve un error de contraseña incorrecta (0xC000006A) al autenticarse con NTLMv1".
Sin embargo, la investigación de Silverfort descubrió que es posible eludir la política de grupo y seguir utilizando la autenticación NTLMv1 aprovechando una configuración del Protocolo remoto Netlogon (MS-NRPC).
En concreto, aprovecha una estructura de datos denominada NETLOGON_LOGON_IDENTITY_INFO, que contiene un campo denominado ParameterControl que, a su vez, tiene una configuración para "Permitir la autenticación NTLMv1 (MS-NLMP) cuando solo se permite NTLMv2 (NTLM)".
"Esta investigación muestra que las aplicaciones locales se pueden configurar para habilitar NTLMv1, anulando el nivel más alto de la política de grupo del nivel de autenticación de LAN Manager establecido en Active Directory", dijo Segal. "Es decir, las organizaciones creen que están haciendo lo correcto al establecer esta política de grupo, pero la aplicación mal configurada sigue omitiendo esta opción".
Para mitigar el riesgo que plantea NTLMv1, es esencial habilitar los registros de auditoría para todas las autenticaciones NTLM en el dominio y estar atento a las aplicaciones vulnerables que solicitan a los clientes que utilicen mensajes NTLMv1. Tampoco hace falta decir que se recomienda a las organizaciones que mantengan sus sistemas actualizados.
La revelación se produce cuando el investigador de HN Security, Alessandro Iandoli, detalló cómo se podían eludir varias funciones de seguridad en Windows 11 (anteriores a la versión 24H2) para lograr la ejecución de código arbitrario a nivel de kernel.
Fuente: THN