Este aviso sobre amenazas de ciberseguridad destaca una nueva vulnerabilidad de Microsoft que los atacantes están explotando activamente para robar hashes NTLM (NT LAN Manager). Lea el artículo completo para conocer la gravedad de la amenaza y recomendaciones para mitigar los riesgos de la organización.
¿Cuál es la amenaza?
La amenaza gira en torno al compromiso de los hashes NTLM. Los atacantes están aprovechando esta falla para filtrar hashes NTLM, que son representaciones criptográficas de las contraseñas de los usuarios. Este proceso se ve facilitado por una nueva vulnerabilidad de Microsoft Outlook, CVE-2023-35636. Permite a los atacantes robar hashes NTLM mediante acciones maliciosas en Outlook, el Explorador de archivos de Windows y programas relacionados.
¿Por qué es digno de mención?
Esta amenaza es importante debido a su potencial para comprometer las credenciales de los usuarios, que pueden usarse para otros ataques. La explotación de aplicaciones ampliamente utilizadas como Microsoft Outlook y Windows File Explorer lo hace particularmente preocupante, ya que son componentes integrales de los sistemas de comunicación e intercambio de archivos de muchas organizaciones. Por ejemplo: CVE-2023-35636 representa un ataque a la función para compartir calendario de Microsoft Outlook. En este exploit, la adición de dos encabezados a un correo electrónico solicita a Outlook que comparta su contenido y se comunique con un servidor específico, lo que presenta una posibilidad de interceptar un hash NTLM v2. Los ataques exitosos podrían provocar accesos no autorizados, violaciones de datos e incluso movimientos laterales dentro de las redes.
¿Cuál es la exposición o riesgo?
Los atacantes suelen emplear hashes NTLM v2 en dos tipos específicos de ataques: ataques de fuerza bruta fuera de línea y retransmisiones de autenticación. En un ataque de fuerza bruta fuera de línea, el adversario obtiene una copia del hash NTLM v2 de la contraseña del usuario y utiliza una computadora para generar sistemáticamente varias contraseñas. Luego, estas contraseñas se prueban una por una con el hash hasta que se identifica una contraseña coincidente. Las organizaciones enfrentan un mayor riesgo de acceso no autorizado y violaciones de datos. El compromiso de los hashes NTLM permite a los atacantes hacerse pasar por usuarios y obtener acceso no autorizado a información y sistemas confidenciales. Además, el potencial de movimiento lateral dentro de las redes aumenta el alcance y la gravedad de la amenaza.
¿Cuáles son las recomendaciones?
Se recomienda las siguientes acciones para limitar el impacto en las fugas de hash NTLM:
- Aplique rápidamente los parches de seguridad proporcionados por Microsoft para abordar las vulnerabilidades en Outlook y programas relacionados.
- La firma de SMB es una medida de seguridad diseñada para proteger el tráfico de SMB contra manipulaciones y ataques de intermediarios. Funciona firmando digitalmente cada mensaje SMB, lo que garantiza que el destinatario pueda detectar cualquier intento de un atacante de alterar un mensaje SMB.
- Eduque a los usuarios sobre los ataques de phishing y las tácticas de ingeniería social que los atacantes pueden utilizar para explotar la vulnerabilidad de fuga de hash NTLM.
- Implemente MFA como una capa adicional de seguridad, incluso si los hashes NTLM están comprometidos.
- Implemente la segmentación de la red para limitar el movimiento lateral en caso de un ataque exitoso, aislando los sistemas críticos de los comprometidos.
- Supervise y audite periódicamente las actividades de la red para detectar y responder a comportamientos sospechosos asociados con ataques de fuga de hash NTLM.
- Manténgase alerta, actualice las medidas de seguridad y eduque a los usuarios para protegerse eficazmente contra esta amenaza emergente.
Para obtener más información, visite https://www.pccommayorista.com/
Contacto:
Teléfono: +52(55)5599-0670
Correo: contacto@pccommayorista.com