Explotación Activa de Vulnerabilidad en Windows que Filtra Hashes NTLM mediante Archivos .library-ms
Una vulnerabilidad crítica en sistemas Windows, que permite la exposición de hashes NTLM a través de archivos con extensión .library-ms, está siendo explotada activamente por actores maliciosos en campañas de phishing dirigidas a entidades gubernamentales y empresas privadas. Este fallo, identificado previamente pero ahora utilizado en ataques reales, representa un riesgo significativo para la seguridad de las redes corporativas.
Detalles Técnicos de la Vulnerabilidad
La vulnerabilidad se aprovecha de la forma en que Windows maneja los archivos .library-ms, utilizados normalmente para organizar bibliotecas de documentos. Cuando un usuario abre un archivo malicioso de este tipo, el sistema intenta autenticarse automáticamente con un servidor remoto controlado por los atacantes, enviando el hash NTLM del usuario sin intervención explícita.
- Mecanismo de Explotación: Los atacantes incrustan recursos SMB o HTTP en el archivo
.library-ms, lo que desencadena una solicitud de autenticación NTLM. - Impacto: El hash NTLM expuesto puede ser utilizado en ataques de “Pass-the-Hash” para moverse lateralmente en la red o elevar privilegios.
- Entornos Afectados: Sistemas Windows que no han aplicado parches recientes o configuraciones de mitigación.
Contexto de los Ataques Actuales
Según reportes, los atacantes están distribuyendo estos archivos maliciosos a través de correos electrónicos de phishing diseñados para parecer comunicaciones legítimas. Las campañas se enfocan en:
- Organizaciones gubernamentales, buscando acceso a información sensible.
- Empresas del sector privado, particularmente aquellas con infraestructuras críticas.
Los correos suelen incluir temas urgentes o relacionados con procedimientos internos para incentivar a las víctimas a abrir los archivos adjuntos. Una vez obtenidos los hashes, los atacantes pueden comprometer cuentas de dominio con privilegios elevados.
Recomendaciones de Mitigación
Para proteger los entornos afectados, se recomienda implementar las siguientes medidas:
- Parcheo: Aplicar las actualizaciones de seguridad más recientes proporcionadas por Microsoft.
- Configuración de Grupo: Deshabilitar el protocolo NTLM donde sea posible, utilizando Kerberos como alternativa.
- Concientización: Educar a los usuarios sobre el riesgo de abrir archivos adjuntos inesperados, incluso si parecen legítimos.
- Monitoreo: Implementar soluciones de detección que alerten sobre intentos de autenticación NTLM inusuales.
Implicaciones para la Seguridad Corporativa
Esta explotación subraya la importancia de:
- Mantener sistemas actualizados, especialmente en entornos con alta exposición a amenazas.
- Auditar regularmente configuraciones relacionadas con autenticación en redes Windows.
- Implementar capas adicionales de seguridad, como segmentación de red y MFA, para limitar el impacto de credenciales comprometidas.
Para más detalles sobre los ataques reportados, consulta la Fuente original.
