Abrir sesión
logo

DEFENSA FRENTE A LAS CIBERAMENAZAS

Nivel de alerta
MUY ALTO
barra de nivel de alerta
barra-separadora

Microsoft ha publicado un parche de seguridad para dos vulnerabilidades críticas que afectan a la implementación de NTLM en todas las versiones de Windows (versiones para servidor 2008, 2012, 2016; y versiones para escritorio 7, 8.1 y 10). La forma de explotar esta vulnerabilidad es a través de los protocolos LDAP y RDP.

En la primera vulnerabilidad, vía LDAP, el atacante puede obtener privilegios dentro del sistema objetivo.

En el segundo caso, RDP Restricted-admin permite al atacante conectarse a una computadora sin ninguna contraseña.

NT LAN Manager (NTLM) es un antiguo protocolo de autenticación utilizado en redes que incluyen sistemas que ejecutan el sistema operativo Windows y sistemas independientes. Aunque NTLM fue reemplazado por Kerberos en Windows 2000, ya que añadía una mayor seguridad a los sistemas en una red, Microsoft todavía sigue soportando NTLM.

Los investigadores descubrieron y reportaron en privado estas vulnerabilidades a Microsoft en abril y se le asignó el código CVE-2017-8563 , pero descartó el error RDP, alegando que era un "problema conocido".

Como medidas preventivas, el Centro Criptológico Nacional recomienda la aplicación de las Guías de Seguridad referentes a entornos de Microsoft (serie 500).

Por otra parte, también se recomienda las siguientes acciones:

  • Instalar parche para CVE-2017-8563 en todos los controladores de dominio.
  • Habilitar "Requerir firmas LDAP" en la configuración de GPO. Por defecto, este valor no se establece en "on" y tal y como sucede con el atributo "Firmas de SMB", si la configuración no se establece correctamente, no está protegido.
  • Forzar a que el tráfico LDAP entre el servidor NTLM y el servidor de directorio sea a través de TLS.
  • Monitorizar el tráfico NTLM en su red y revisar cualquier uso anómalo.
  • No otorgar privilegios de administración de dominio al personal de soporte ya que, al realizar inicios de sesión en múltiples equipos, las credenciales son menos seguras.
Volver

Esta web utiliza cookies, puedes ver nuestra política de cookies Si continuas navegando estás aceptándola Modificar configuración