Vulnerabilidad crítica en Windows File Explorer permite el robo de hashes NTLM
Recientemente, se ha identificado una vulnerabilidad crítica en Windows File Explorer, catalogada como CVE-2025-24071, que permite a los atacantes robar hashes de contraseñas NTLM. Este fallo de seguridad representa un riesgo significativo para los sistemas Windows, ya que los hashes NTLM son utilizados en la autenticación de usuarios y pueden ser explotados para realizar ataques de fuerza bruta o de “pass-the-hash”.
¿Qué es NTLM y por qué es relevante?
NTLM (NT LAN Manager) es un protocolo de autenticación utilizado en sistemas Windows para verificar la identidad de los usuarios y proteger las credenciales. Aunque ha sido reemplazado en gran medida por Kerberos en entornos modernos, NTLM sigue siendo ampliamente utilizado en sistemas heredados y en ciertos escenarios específicos. Los hashes NTLM son versiones cifradas de las contraseñas, y si un atacante obtiene estos hashes, puede intentar descifrarlos offline o usarlos directamente en ataques de suplantación.
Detalles técnicos de la vulnerabilidad
La vulnerabilidad CVE-2025-24071 reside en la forma en que Windows File Explorer maneja ciertos tipos de archivos y solicitudes de red. Cuando un usuario abre un archivo malicioso o navega a una ubicación de red controlada por un atacante, el sistema puede enviar automáticamente el hash NTLM del usuario al servidor remoto sin requerir interacción adicional. Este comportamiento es explotable mediante técnicas como el uso de archivos SMB (Server Message Block) o URL maliciosas.
El ataque se basa en la capacidad de un atacante para engañar al sistema para que inicie una conexión de red no deseada, lo que resulta en la fuga del hash NTLM. Una vez obtenido, el atacante puede utilizar herramientas como Responder o Impacket para capturar y explotar estos hashes.
Implicaciones prácticas y riesgos
Esta vulnerabilidad tiene varias implicaciones críticas:
- Robo de credenciales: Los hashes NTLM pueden ser utilizados para acceder a recursos de red o sistemas adicionales.
- Ataques de escalada de privilegios: Si un atacante obtiene el hash de un usuario con privilegios elevados, podría comprometer todo el dominio.
- Exposición de datos sensibles: El acceso no autorizado a sistemas puede resultar en la filtración de información confidencial.
Medidas de mitigación
Para reducir el riesgo asociado con esta vulnerabilidad, se recomienda implementar las siguientes medidas:
- Actualizaciones de seguridad: Aplicar parches proporcionados por Microsoft tan pronto como estén disponibles.
- Restricción de protocolos obsoletos: Deshabilitar NTLM y migrar a Kerberos siempre que sea posible.
- Configuración de políticas de grupo: Limitar el uso de SMB y bloquear conexiones no autorizadas.
- Monitoreo de red: Implementar soluciones de detección de anomalías para identificar intentos de explotación.
Conclusión
La vulnerabilidad CVE-2025-24071 en Windows File Explorer subraya la importancia de mantener los sistemas actualizados y de adoptar prácticas de seguridad proactivas. Aunque Microsoft probablemente lanzará un parche para corregir este fallo, los administradores de sistemas deben tomar medidas adicionales para proteger sus entornos contra posibles explotaciones. La transición a protocolos más seguros, como Kerberos, y la implementación de controles de red robustos son pasos esenciales para mitigar este tipo de amenazas.
Para más detalles sobre esta vulnerabilidad, consulta la fuente original.
