Microsoft ha publicado un parche de seguridad para dos vulnerabilidades críticas que afectan a la implementación de NTLM en todas las versiones de Windows (versiones para servidor 2008, 2012, 2016; y versiones para escritorio 7, 8.1 y 10). La forma de explotar esta vulnerabilidad es a través de los protocolos LDAP y RDP.
En la primera vulnerabilidad, vía LDAP, el atacante puede obtener privilegios dentro del sistema objetivo.
En el segundo caso, RDP Restricted-admin permite al atacante conectarse a una computadora sin ninguna contraseña.
NT LAN Manager (NTLM) es un antiguo protocolo de autenticación utilizado en redes que incluyen sistemas que ejecutan el sistema operativo Windows y sistemas independientes. Aunque NTLM fue reemplazado por Kerberos en Windows 2000, ya que añadía una mayor seguridad a los sistemas en una red, Microsoft todavía sigue soportando NTLM.
Los investigadores descubrieron y reportaron en privado estas vulnerabilidades a Microsoft en abril y se le asignó el código CVE-2017-8563 , pero descartó el error RDP, alegando que era un "problema conocido".
Como medidas preventivas, el Centro Criptológico Nacional recomienda la aplicación de las Guías de Seguridad referentes a entornos de Microsoft (serie 500).
Por otra parte, también se recomienda las siguientes acciones:
- Instalar parche para CVE-2017-8563 en todos los controladores de dominio.
- Habilitar "Requerir firmas LDAP" en la configuración de GPO. Por defecto, este valor no se establece en "on" y tal y como sucede con el atributo "Firmas de SMB", si la configuración no se establece correctamente, no está protegido.
- Forzar a que el tráfico LDAP entre el servidor NTLM y el servidor de directorio sea a través de TLS.
- Monitorizar el tráfico NTLM en su red y revisar cualquier uso anómalo.
- No otorgar privilegios de administración de dominio al personal de soporte ya que, al realizar inicios de sesión en múltiples equipos, las credenciales son menos seguras.
