Daniel Petri

El ataque de retransmisión NTLM supone una amenaza importante para las organizaciones que utilizan Active Directory. Este ataque explota el protocolo de autenticación NT LAN Manager (NTLM), un mecanismo de desafío-respuesta utilizado en redes Windows para la autenticación de usuarios. Los ataques de retransmisión NTLM no son sólo una reliquia de preocupaciones de seguridad del pasado, sino un riesgo presente y activo.

Lectura relacionada: Mejores prácticas de seguridad de Active Directory

Ataques como PetitPotam utilizan la retransmisión NTLM para amenazar la seguridad corporativa. Para mitigar esta amenaza permanente, las organizaciones deben aplicar medidas de seguridad rigurosas. Siga leyendo para obtener más información sobre los ataques de retransmisión NTLM: cómo funcionan, los riesgos que plantean, cómo detectarlos y cómo defenderse de ellos.

¿Qué es NTLM?

NTLM ha sido durante mucho tiempo un pilar de la autenticación en Windows. Diseñado para ser rápido y compatible con versiones anteriores, NTLM facilita la autenticación en red cuando no se puede utilizar Kerberos, una alternativa más segura. Muchas redes aún admiten y utilizan NTLM por compatibilidad con versiones anteriores e interoperabilidad con sistemas y aplicaciones heredados que no admiten métodos de autenticación más recientes, como Kerberos.

¿Qué es un ataque de retransmisión NTLM?

Un ataque de retransmisión NTLM se aprovecha del diseño del protocolo NTLM. NTLM carece de autenticación mutua, por lo que es susceptible de ataques de intermediario, incluido un ataque de retransmisión NTLM.

En este tipo de ataque, una amenaza captura una sesión de autenticación NTLM. A continuación, el atacante utiliza las credenciales capturadas para autenticarse en otros servicios, aprovechándose así de la identidad del usuario.

El protocolo NTLM no protege intrínsecamente contra la interceptación o retransmisión de credenciales. Sin mecanismos de seguridad adicionales, como la firma SMB o la Protección Extendida para Autenticación, un atacante puede retransmitir mensajes NTLM a otros servidores y servicios dentro de la red. El atacante puede explotar este comportamiento para realizar acciones no autorizadas, desde acceder a datos sensibles hasta ejecutar comandos con los privilegios de la cuenta comprometida.

La prevalencia de entornos mixtos que utilizan tanto NTLM como protocolos más seguros no hace sino ampliar la superficie de ataque para los adversarios. Una vez dentro de su red, los atacantes pueden aprovecharse de las relaciones de confianza de AD para escalar privilegios. Esta amenaza aumenta cuando las configuraciones de red y el cumplimiento estricto de las políticas de seguridad son incoherentes o se pasan por alto debido a las exigencias operativas, la complejidad o la falta de concienciación.

Los atacantes a menudo aprovechan un ataque de retransmisión NTLM junto con otras técnicas, como phishing o malware, para obtener acceso inicial o elevar su posición existente dentro de un sistema. La combinación de estos métodos puede convertir los ataques de retransmisión NTLM en un componente de ataques más sofisticados y selectivos.

La amenaza también se ve amplificada por la fácil disponibilidad de muchas herramientas y scripts automatizados para explotar las vulnerabilidades de NTLM. Como resultado, los atacantes pueden llevar a cabo un ataque de retransmisión NTLM sin necesidad de un profundo conocimiento técnico del protocolo subyacente.

¿Cómo funciona un ataque de retransmisión NTLM?

El ataque comienza con el atacante posicionándose estratégicamente dentro de la red para monitorizar y capturar el tráfico de autenticación entre un cliente y un servidor. El ataque se aprovecha del hecho de que la autenticación NTLM no vincula intrínsecamente una sesión de autenticación a un canal específico. Este comportamiento permite al atacante redirigir las credenciales a un servidor o servicio diferente dentro de la red.

Un ataque de retransmisión NTLM suele seguir estos pasos.

  1. Interceptación. El atacante utiliza técnicas como el envenenamiento ARP para insertarse en el flujo de comunicación e interceptar el intento de un cliente de autenticarse en un servidor.
  2. Retransmisión. El atacante retransmite activamente la solicitud de autenticación del cliente a otro servidor o servicio dentro de la red.
  3. Uso indebido de credenciales. Tras recibir las credenciales del cliente, el servidor de destino procesa la solicitud como si fuera un intento legítimo del cliente. El servidor devuelve un testigo de sesión o una concesión de acceso, que el atacante captura.
  4. Acceso no autorizado. Utilizando el testigo de sesión o las credenciales de acceso, el atacante accede al servidor o servicio objetivo con los mismos derechos que la víctima. Estos derechos pueden permitir al atacante acceder a archivos compartidos, bases de datos u otros recursos sensibles.

¿Qué riesgos conlleva un ataque de retransmisión NTLM?

Los riesgos potenciales de un ataque de retransmisión NTLM son profundos.

  • Escalada de privilegios. Los atacantes pueden obtener privilegios elevados si las credenciales transmitidas tienen el nivel de acceso necesario.
  • Violación de datos. El acceso a datos sensibles dentro de la red puede conducir al robo o pérdida de datos.
  • Movimiento lateral. Los atacantes pueden moverse lateralmente dentro de la red, comprometiendo sistemas adicionales y preparando el terreno para nuevos ataques o amenazas persistentes.

Los ejemplos de la vida real incluyen casos en los que los atacantes han comprometido a un usuario con altos privilegios y han utilizado la retransmisión NTLM para ejecutar comandos que conceden a los atacantes acceso persistente a la red.

¿Quién es vulnerable a un ataque de retransmisión NTLM?

Los sistemas que son particularmente vulnerables a un ataque de retransmisión NTLM incluyen:

  • Redes que utilizan el inicio de sesión único (SSO) y en las que NTLM todavía está en uso.
  • Entornos en los que la firma SMB está desactivada o no se aplica
  • Servidores y aplicaciones que no requieren vinculación de canal o protección de sesión

¿Cómo se puede detectar un ataque de retransmisión NTLM?

Para detectar un ataque NTLM Relay, los profesionales de la seguridad deben seguir los siguientes pasos:

  • Supervisar patrones de tráfico NTLM inusuales.
  • Busque signos de envenenamiento ARP o suplantación de red.
  • Utilizar sistemas de detección de intrusos para detectar solicitudes de autenticación anómalas.
  • Emplee análisis avanzados de amenazas para detectar movimientos laterales o escalada de privilegios que podrían indicar un ataque de relé.

¿Cómo puede defenderse de un ataque de retransmisión NTLM?

Si comprende la mecánica de un ataque de retransmisión NTLM y toma medidas proactivas para proteger su red, puede reducir significativamente la amenaza que supone esta vulnerabilidad duradera. La mitigación de un ataque de retransmisión NTLM implica estos pasos:

  • Aplique la firma SMB para evitar la interceptación de mensajes de autenticación NTLM.
  • Desactive la autenticación NTLM siempre que sea posible, en favor de protocolos más seguros como Kerberos.
  • Implemente la segmentación de la red para limitar el movimiento lateral.
  • Utilice el grupo de seguridad Usuarios protegidos y otras funciones de Credential Guard para reducir la exposición de las credenciales.

Los administradores de Active Directory también pueden seguir los siguientes pasos:

  • Audite su red para asegurarse de que la firma SMB está activada en todos los dispositivos.
  • Configure Active Directory para que rechace las solicitudes de autenticación NTLM procedentes de redes que no sean de confianza.
  • Supervise, aplique parches y actualice periódicamente los sistemas para mitigar las vulnerabilidades conocidas. En lo que respecta a Active Directory, una herramienta como Semperis Directory Services Protector puede buscar y cerrar vulnerabilidades e incluso automatizar la corrección de cambios sospechosos en el entorno de Active Directory.
  • Eduque a los usuarios sobre la importancia de no reutilizar las credenciales en distintos puntos de acceso.

Manténgase alerta contra los ciberataques

Un ataque de retransmisión NTLM supone una grave amenaza para las redes. A pesar de su antigüedad, NTLM sigue utilizándose en muchos entornos corporativos, especialmente en sistemas que no se han actualizado para utilizar protocolos de autenticación modernos como Kerberos. La persistencia de NTLM en las redes, a menudo debido a aplicaciones o dispositivos heredados que lo requieren, deja una puerta abierta a los ataques de retransmisión NTLM para explotar las debilidades inherentes al protocolo de autenticación.

Además, los ataques de retransmisión NTLM pueden ser especialmente peligrosos cuando se combinan con otros exploits. Por ejemplo, un atacante que obtiene acceso a una red a través de una campaña de phishing puede utilizar tácticas de retransmisión NTLM para elevar privilegios y moverse lateralmente dentro de la red, dando lugar a una amplia gama de actividades maliciosas.

Al interceptar y retransmitir los mensajes de autenticación, los atacantes pueden obtener acceso no autorizado a los recursos de la red, escalar sus privilegios y, potencialmente, causar daños significativos. La detección y la mitigación requieren una postura de seguridad sólida, que incluya la supervisión de la red, la educación de los usuarios y el despliegue de protocolos de autenticación seguros.

Los administradores de Active Directory deben permanecer especialmente vigilantes. Aplique las mejores prácticas para protegerse de las vulnerabilidades y garantizar la integridad y seguridad del servicio de identidad. Y, si es posible, implante soluciones de detección y respuesta a amenazas de identidad (ITDR ) que simplifiquen la supervisión de Active Directory y automaticen su defensa tanto contra los errores humanos como contra los ciberataques furtivos.