Después de VBScript, microsoft se está preparando para pasar página sobre otra tecnología, el protocolo de autenticación NLTM en Windows 11. El acrónimo de New Technology LAN Manager forma parte de una familia de protocolos de identificación que también incluye Kerberos. Este último reemplazó a NTLM como solución de autenticación predeterminada en terminales que ejecutan todas las versiones de Windows superiores a Windows 2000.

El problema es que NTLM todavía se utiliza hoy en día, especialmente por los ciberdelincuentes. Estos últimos realizan ataques de retransmisión NTLM, técnica que consiste en situarse entre un cliente y un servidor para realizar acciones en el servidor haciéndose pasar por el cliente. Los atacantes refinaron sus campañas explotando las vulnerabilidades ShadowCoerce, DFSCoerce, PetitPotam y RemotePotato0, diseñadas para evitar las mitigaciones de ataques de retransmisión NTLM.

Se esperan funciones adicionales en Kerberos

El protocolo también ha sido blanco de ataques pass-the-hash en los que los ciberdelincuentes explotan las vulnerabilidades del sistema o implementan malware para obtener hashes NTLM. Una vez en posesión del hash, los ciberdelincuentes pueden usarlo para autenticarse como el usuario comprometido, abriendo el acceso a datos confidenciales y la capacidad de propagarse lateralmente por la red.

El editor indica que los desarrolladores ya no deberían usar NTLM en sus aplicaciones desde 2010, y aconseja a los administradores de Windows que deshabiliten NTLM o configuren sus servidores para bloquear ataques de retransmisión NTLM utilizando Active Directory Certificate Services (AD CS). Sin embargo, el editor está trabajando actualmente en dos funciones de Kerberos: IAKerb (autenticación inicial y de paso mediante Kerberos) y KDC local (centro de distribución de claves local). La primera característica brinda a los clientes la capacidad de autenticarse con Kerberos en una gama más amplia de topologías de red. El segundo es un centro de distribución de claves local (KDC) para Kerberos, que extiende el soporte del protocolo a las cuentas locales. Microsoft también planea ampliar los controles de administración de NTLM, brindando a los administradores una mayor flexibilidad para monitorear y restringir su uso. “Todos estos cambios estarán habilitados de forma predeterminada y no requerirán configuración para la mayoría de los escenarios. NTLM seguirá estando disponible como alternativa para mantener la compatibilidad existente”, concluyó Matthew Palko, director de productos empresariales y de seguridad de Microsoft.