Ciberdelincuentes aprovechan vulnerabilidad de suplantación NTLM para comprometer sistemas
Publicado enAmenazas

Ciberdelincuentes aprovechan vulnerabilidad de suplantación NTLM para comprometer sistemas

No hay comentarios

Explotación de la vulnerabilidad CVE-2025-24054: Spoofing en NTLM y riesgos para Windows

Recientemente, se ha detectado un aumento en los ataques dirigidos a sistemas Windows que explotan una vulnerabilidad crítica identificada como CVE-2025-24054. Este fallo permite a los atacantes obtener hashes NTLM mediante técnicas de spoofing, lo que compromete gravemente la seguridad de las redes corporativas y entornos empresariales.

¿Qué es NTLM y cómo funciona?

NTLM (NT LAN Manager) es un protocolo de autenticación utilizado en sistemas Windows para validar la identidad de usuarios y servicios. Opera mediante un mecanismo de desafío-respuesta, donde el servidor envía un “desafío” al cliente, quien responde con un hash derivado de su contraseña. Sin embargo, este protocolo ha sido históricamente vulnerable a ataques como:

  • Relay attacks: Reenvío de credenciales a otros sistemas.
  • Spoofing: Suplantación de identidad para interceptar tráfico.
  • Brute force: Descifrado de hashes mediante fuerza bruta.

Detalles técnicos de CVE-2025-24054

La vulnerabilidad aprovecha una debilidad en la implementación de NTLM que permite a los atacantes:

  • Engañar a los sistemas para que divulguen hashes NTLM mediante solicitudes maliciosas.
  • Suplantar servidores legítimos para interceptar autenticaciones.
  • Escalar privilegios una vez obtenido el hash del usuario objetivo.

Los cibercriminales están utilizando esta técnica principalmente en ataques de phishing interno, donde comprometen un equipo dentro de la red para luego moverse lateralmente.

Impacto y sistemas afectados

Esta vulnerabilidad afecta a múltiples versiones de Windows, incluyendo:

  • Windows 10 y 11 (todas las ediciones)
  • Windows Server 2016, 2019 y 2022
  • Sistemas que utilizan NTLM para autenticación

El impacto potencial incluye:

  • Acceso no autorizado a recursos de red
  • Robo de credenciales privilegiadas
  • Movimiento lateral dentro de la red
  • Posible ejecución remota de código

Medidas de mitigación

Para protegerse contra esta amenaza, se recomienda:

  • Actualizar sistemas: Aplicar los últimos parches de seguridad de Microsoft.
  • Deshabilitar NTLM: Donde sea posible, migrar a Kerberos u otros métodos de autenticación más seguros.
  • Configurar SMB signing: Para prevenir ataques de relay.
  • Implementar segmentación de red: Limitar el movimiento lateral.
  • Monitorizar tráfico NTLM: Detectar intentos de spoofing.

Conclusión

CVE-2025-24054 representa una amenaza significativa para entornos Windows, especialmente aquellos que aún dependen de NTLM para autenticación. Las organizaciones deben priorizar la aplicación de parches y considerar la migración a métodos de autenticación más modernos y seguros para reducir su superficie de ataque.

Para más información técnica sobre esta vulnerabilidad, consulta la Fuente original.

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta