CVE-2025-24054: Vulnerabilidad en NTLM de Windows explotada activamente
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) ha añadido una vulnerabilidad de seguridad de gravedad media, identificada como CVE-2025-24054, a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Este fallo afecta al protocolo New Technology LAN Manager (NTLM) de Microsoft Windows y ya está siendo explotado activamente en entornos reales. La puntuación CVSS asignada es 6.5, lo que la clasifica como una amenaza significativa pero no crítica.
Detalles técnicos de la vulnerabilidad
La vulnerabilidad CVE-2025-24054 permite la divulgación no autorizada de hashes NTLM, un componente fundamental en el proceso de autenticación de Windows. NTLM es un protocolo de autenticación heredado que todavía se utiliza ampliamente en entornos empresariales para la autenticación entre sistemas Windows.
El fallo específico permite a un atacante con acceso a la red local interceptar o forzar la generación de tráfico NTLM, obteniendo así los hashes de contraseña de los usuarios. Estos hashes pueden ser utilizados posteriormente en ataques de “pass-the-hash” para escalar privilegios o moverse lateralmente a través de la red.
Impacto y vectores de ataque
Los principales riesgos asociados a esta vulnerabilidad incluyen:
- Escalada de privilegios dentro de sistemas Windows
- Movimiento lateral a través de la red corporativa
- Posibilidad de realizar ataques de fuerza bruta contra los hashes obtenidos
- Compromiso de cuentas de dominio si se obtienen hashes de usuarios privilegiados
Los atacantes pueden explotar esta vulnerabilidad mediante varios vectores, incluyendo:
- Ataques MITM (Man-in-the-Middle) en redes locales
- Inyección de respuestas falsas en comunicaciones SMB
- Explotación de servicios configurados para usar autenticación NTLM
Recomendaciones de mitigación
Microsoft aún no ha publicado un parche oficial para esta vulnerabilidad. Sin embargo, se recomiendan las siguientes medidas de mitigación:
- Deshabilitar NTLM donde sea posible y utilizar Kerberos como protocolo de autenticación principal
- Implementar SMB signing para prevenir ataques MITM
- Restringir el tráfico NTLM mediante políticas de grupo
- Monitorizar eventos de autenticación sospechosos en los controladores de dominio
- Implementar segmentación de red para limitar el movimiento lateral
Las organizaciones deben monitorear activamente los sistemas en busca de intentos de explotación y estar preparadas para aplicar el parche oficial tan pronto como Microsoft lo publique. La inclusión de esta vulnerabilidad en el catálogo KEV de CISA indica que su explotación está confirmada en entornos reales, por lo que debe tratarse como una prioridad de seguridad.
