Ataques de phishing explotan vulnerabilidad de fuga de hashes NTLM en Windows
Recientemente, organizaciones gubernamentales y empresas privadas han sido objetivo de ataques que aprovechan una vulnerabilidad crítica en el protocolo de autenticación NTLM (NT LAN Manager) de Windows. Esta falla, identificada como CVE-2025-24054, permite la filtración no autorizada de hashes NTLM, facilitando a los atacantes el escalamiento de privilegios y el acceso a sistemas comprometidos. Según reportes de BleepingComputer, los ataques se han llevado a cabo entre el 20 y el 25 de marzo como parte de campañas de phishing dirigidas.
Detalles técnicos de la vulnerabilidad
NTLM es un protocolo de autenticación heredado utilizado en entornos Windows para validar credenciales de usuario. La vulnerabilidad CVE-2025-24054 permite que un atacante remoto intercepte y extraiga hashes NTLM mediante técnicas de manipulación de solicitudes de autenticación. Estos hashes, que son representaciones cifradas de contraseñas, pueden ser descifrados offline utilizando herramientas como Hashcat o John the Ripper, lo que otorga al atacante acceso a credenciales válidas.
- Mecanismo de explotación: Los atacantes engañan a las víctimas para que visiten sitios web maliciosos que fuerzan autenticaciones NTLM no solicitadas.
- Impacto: Una vez obtenidos los hashes, los atacantes pueden realizar movimientos laterales en la red, acceder a recursos compartidos o incluso comprometer dominios completos.
- Entornos afectados: Sistemas Windows sin parches recientes, especialmente aquellos que aún dependen de NTLM por compatibilidad con aplicaciones heredadas.
Campañas de phishing asociadas
Los ataques reportados incluyen correos electrónicos de phishing diseñados para redirigir a las víctimas a servidores controlados por los atacantes. Uno de los IPs identificados en estas campañas ha sido vinculado a grupos de amenazas respaldados por el estado ruso, aunque aún no se ha confirmado oficialmente su participación. Las técnicas observadas incluyen:
- Uso de documentos Office maliciosos con macros que activan conexiones HTTP para robar hashes.
- Explotación de servidores SMB (Server Message Block) mal configurados para capturar tráfico de autenticación.
- Suplantación de servicios legítimos para engañar a los usuarios y obtener sus credenciales.
Medidas de mitigación
Microsoft ha lanzado parches para abordar esta vulnerabilidad, por lo que se recomienda aplicar las actualizaciones de seguridad correspondientes de inmediato. Además, las siguientes medidas pueden reducir el riesgo:
- Deshabilitar NTLM: Siempre que sea posible, utilizar Kerberos como protocolo de autenticación predeterminado.
- Configurar políticas de restricción: Limitar el tráfico NTLM a través de firewalls y habilitar la auditoría para detectar intentos de autenticación sospechosos.
- Capacitación en seguridad: Educar a los usuarios sobre los riesgos del phishing y la importancia de no hacer clic en enlaces no verificados.
Esta vulnerabilidad subraya la importancia de mantener los sistemas actualizados y migrar hacia protocolos de autenticación más seguros, como Kerberos o soluciones basadas en certificados. Para más detalles técnicos, consulta el informe original en SCWorld.
