Pesquisadores de cibersegurança descobriram que a Política de Grupo do Microsoft Active Directory, projetada para desabilitar o NT LAN Manager (NTLM) v1, pode ser facilmente contornada por uma má configuração.
"Uma simples má configuração em aplicações locais pode substituir a Política de Grupo, efetivamente anulando a Política de Grupo projetada para deter autenticações NTLMv1," disse o pesquisador da Silverfort, Dor Segal, em um relatório compartilhado.
O NTLM ainda é um mecanismo amplamente utilizado, especialmente em ambientes Windows, para autenticar usuários em uma rede.
O protocolo legado, embora não removido devido aos requisitos de compatibilidade com versões anteriores, foi considerado obsoleto a partir de meados de 2024.
No final do ano passado, a Microsoft oficialmente removeu o NTLMv1 a partir do Windows 11, versão 24H2, e Windows Server 2025.
Embora o NTLMv2 introduza novas mitigações para tornar mais difícil a realização de ataques de retransmissão, a tecnologia tem sido assediada por várias fraquezas de segurança que foram ativamente exploradas por atores de ameaças para acessar dados sensíveis.
Ao explorar essas falhas, a ideia é coagir uma vítima a se autenticar em um ponto arbitrário, ou retransmitir as informações de autenticação contra um alvo suscetível e realizar ações maliciosas em nome da vítima.
"O mecanismo de Política de Grupo é a solução da Microsoft para desabilitar o NTLMv1 na rede," Segal explicou.
A chave de registro LMCompatibilityLevel impede que os Controladores de Domínio avaliem mensagens NTLMv1 e retorna um erro de senha incorreta (0xC000006A) ao autenticar com NTLMv1.
No entanto, a investigação da Silverfort descobriu que é possível contornar a Política de Grupo e ainda usar a autenticação NTLMv1 aproveitando uma configuração no Protocolo Remoto Netlogon (MS-NRPC).
Especificamente, ela utiliza uma estrutura de dados chamada NETLOGON_LOGON_IDENTITY_INFO, que contém um campo nomeado ParameterControl que, por sua vez, tem uma configuração para "Permitir autenticação NTLMv1 (MS-NLMP) quando apenas NTLMv2 (NTLM) é permitido."
"Esta pesquisa mostra que aplicações locais podem ser configuradas para habilitar NTLMv1, anulando o Nível Mais Alto da Política de Grupo do nível de autenticação do LAN Manager definido no Active Directory," disse Segal.
Ou seja, as organizações pensam que estão fazendo a coisa certa ao definir essa política de grupo, mas ainda está sendo contornada pela aplicação mal configurada.
Para mitigar o risco apresentado pelo NTLMv1, é essencial habilitar logs de auditoria para todas as autenticações NTLM no domínio e ficar atento a aplicações vulneráveis que solicitam aos clientes que usem mensagens NTLMv1.
Também é desnecessário dizer que as organizações são recomendadas a manter seus sistemas atualizados.
As descobertas mais recentes seguem um relatório do pesquisador de segurança Haifei Li sobre um "comportamento de zero-day" em artifícios PDF descobertos no ambiente que podem vazar informações locais de net-NTLM quando abertos com o Adobe Reader ou Foxit PDF Reader sob certas condições.
A Foxit Software abordou o problema com a versão 2024.4 para Windows.
A divulgação também ocorre enquanto o pesquisador de segurança da HN, Alessandro Iandoli, detalhou como várias funcionalidades de segurança no Windows 11 (antes da versão 24H2) poderiam ser contornadas para alcançar a execução de código arbitrário no nível do kernel.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...