Summarize this content to 600 words Por lo tanto, Microsoft ha publicado una guía para las organizaciones sobre cómo mitigar los ataques de retransmisión NTLM de forma predeterminada, que se espera que aumenten después de que los investigadores informaron sobre la vulnerabilidad de hash NTLM de día 0 en todas las versiones de Windows Workstation y Server, desde Windows 7 hasta Versiones actuales de Windows 11.
Ayer, según Bleeping Computer, el mensaje era que los investigadores de 0patch habían encontrado la vulnerabilidad y lo informaron a Microsoft, quien inicialmente no tuvo respuesta.
Microsoft ahora lo tiene, informa Dark Reading, que en su discusión sobre el caso dice en parte que los investigadores de ACROS Security han encontrado el error, y en parte señala que no está claro si la publicación de la guía está relacionada con el error o si es pura coincidencia. En cualquier caso, no se espera que el error, que todavía no tiene puntuación CVE ni CVSS, se solucione en los próximos meses.
Ya sea que los investigadores detrás del hallazgo provengan de 0patch o ACROS, es lo suficientemente grave como para permitir que un atacante obtenga las credenciales NTLM de un usuario simplemente haciendo que el usuario vea un archivo malicioso a través del administrador de archivos.
Según Dark Reading, Microsoft describe la falla como un «método de ataque popular utilizado por actores de amenazas que permite comprometer la identidad». La guía establece que el riesgo de explotación se puede mitigar habilitando la Protección extendida para la autenticación (EPA) en LDAP, AD CS y Exchange Server. El último Windows Server 2025 viene con EPA habilitado de forma predeterminada tanto para AD CS como para LDAP.
Alternativamente, ACROS recomienda utilizar los microparches gratuitos de 0patch.
Campo de golf:
https://www.darkreading.com/application-security/microsoft-ntlm-zero-day…
https://cert.dk/da/news/2024-12-09/0patch-Windows-0-dag-afsloerer-NTLM-l…