Uma vulnerabilidade zero-day identificada nos sistemas Windows permite que invasores obtenham credenciais NTLM de usuários ao induzi-los a visualizar um arquivo malicioso no Explorador de Arquivos, sem a necessidade de abri-lo. Essa falha afeta todas as versões do Windows, desde o Windows 7 e Server 2008 R2 até o Windows 11 24H2 e Server 2022.
A exploração ocorre quando o usuário acessa uma pasta compartilhada ou dispositivo USB contendo o arquivo malicioso, ou ao visualizar a pasta de Downloads onde o arquivo foi previamente baixado de um site mal-intencionado. Nessas situações, o Windows envia automaticamente as credenciais NTLM do usuário para o servidor do invasor, possibilitando ataques de relay NTLM ou “pass-the-hash”.
A Microsoft ainda não forneceu uma correção oficial para esta falha, e afirmou que está investigando o caso. Enquanto um patch não é disponibilizado, recomendamos as seguintes medidas de mitigação:
- Implementar Proteção Estendida para Autenticação (EPA): Ative o EPA para reduzir a eficácia de ataques de relay NTLM.
- Restringir tráfego SMB para locais não confiáveis: Configure firewalls para bloquear conexões SMB com endereços externos ou não confiáveis, limitando a exposição a ataques que utilizam esse protocolo.
- Desabilitar o tráfego outbound da porta 445 para ambientes externos: Configure o firewall de rede para bloquear tráfego outbound na porta 445, que é usada para comunicações SMB, para prevenir que credenciais sejam enviadas para servidores externos controlados por invasores.
- Forçar a troca de senha dos usuários e implementar senhas fortes: Solicite que os usuários troquem suas senhas e reforcem sua segurança com políticas de criação de senhas complexas, dificultando tentativas de quebra de hash NTLM.
- Monitorar e auditar tentativas de autenticação NTLM: Estabeleça processos de monitoramento para identificar e responder rapidamente a atividades suspeitas relacionadas ao uso de NTLM em sua rede.
- Conduzir treinamentos e ações de conscientização: Realize treinamentos regulares e campanhas de conscientização para que os colaboradores saibam identificar tentativas de phishing e outros comportamentos que possam expô-los a ataques mal-intencionados.
Através de uma postagem no site do Microsoft Security Response Center, algumas recomendações adicionais para mitigar ataques de relay NTLM foram fornecidas pela Microsoft. Elas podem ser conferidas aqui: https://msrc.microsoft.com/blog/2024/12/mitigating-ntlm-relay-attacks-by-default/
A postagem da Microsoft destaca também a importância de revisar políticas de grupo e configurações que limitam o uso de NTLM em conexões SMB. Especificamente, habilitar assinaturas SMB e restringir o tráfego NTLM não autenticado podem reduzir consideravelmente o risco de exploração.
Essas ações, alinhadas às recomendações oficiais da Microsoft e reforçadas por boas práticas de segurança, oferecem uma camada adicional de proteção enquanto uma atualização oficial não é disponibilizada para corrigir essa vulnerabilidade.
A SEK continuará acompanhando o caso de perto e atualizando nossos clientes e parceiros conforme novas atualizações surgirem. Estamos à disposição para ajudar no que for necessário.