A Microsoft anunciou que desativará, por padrão, o protocolo de autenticação NTLM nas próximas versões do Windows, após mais de 30 anos de uso.
A decisão ocorre devido às vulnerabilidades que expõem organizações a ataques cibernéticos.
O NTLM (sigla para New Technology LAN Manager) é um protocolo de autenticação baseado no mecanismo challenge-response, introduzido em 1993 com o Windows NT 3.1, substituindo o antigo LAN Manager (LM).
Embora o Kerberos tenha se tornado o protocolo padrão para dispositivos conectados a domínios desde o Windows 2000, o NTLM ainda é usado como método alternativo quando o Kerberos não está disponível.
No entanto, seu uso apresenta riscos, pois utiliza criptografia fraca e é vulnerável a diversos tipos de ataques.
Desde seu lançamento, o NTLM tem sido amplamente explorado em ataques de NTLM relay, nos quais criminosos forçam dispositivos comprometidos a se autenticar em servidores sob seu controle, possibilitando escalada de privilégios e controle total do domínio Windows.
Mesmo assim, o protocolo permanece ativo em servidores Windows, permitindo que ameaças explorem vulnerabilidades como PetitPotam, ShadowCoerce, DFSCoerce e RemotePotato0, que contornam proteções contra ataques do tipo relay.
Além disso, o NTLM é alvo frequente de ataques pass-the-hash, em que hackers roubam NTLM hashes para se autenticar como usuários legítimos.
Assim, eles conseguem roubar dados sensíveis e se mover lateralmente dentro da rede.
Na quinta-feira, a Microsoft revelou o plano para desativar o NTLM por padrão na próxima grande versão do Windows Server e nas versões cliente associadas.
A mudança faz parte de uma estratégia mais ampla para incentivar autenticações sem senha e resistentes a phishing, adotando definitivamente o Kerberos como método principal.
O processo de transição será dividido em três fases para mitigar riscos e minimizar impactos.
Na primeira fase, administradores poderão usar ferramentas avançadas de auditoria disponíveis no Windows 11 24H2 e no Windows Server 2025 para identificar onde o NTLM ainda está em uso.
Na segunda fase, prevista para o segundo semestre de 2026, serão introduzidos recursos como IAKerb e um Local Key Distribution Center (Local KDC), que atenderão a cenários que ainda exigem fallback para o NTLM.
Na terceira e última fase, o protocolo NTLM na rede será desativado por padrão nas versões futuras do sistema, permanecendo presente para reativação manual via políticas, se necessário.
Segundo a Microsoft, “desativar o NTLM por padrão não significa removê-lo completamente do Windows por ora.
Significa que ele será entregue em um estado seguro, bloqueando a autenticação NTLM na rede para que não seja usada automaticamente”.
A empresa reforça que o sistema priorizará alternativas mais modernas e seguras baseadas em Kerberos, enquanto mantém suporte a cenários legados com as novas funcionalidades Local KDC e IAKerb, atualmente em pré-lançamento.
A decisão foi anunciada inicialmente em outubro de 2023, quando a Microsoft também informou que expandiria os controles de gerenciamento para fornecer mais flexibilidade aos administradores na monitoração e restrição do uso do NTLM.
Em julho de 2024, o NTLM foi oficialmente descontinuado em versões do Windows e Windows Server, com recomendação clara para que desenvolvedores migrem para autenticação via Kerberos ou Negotiate, evitando problemas futuros.
Desde 2010, a Microsoft vem alertando desenvolvedores para abandonarem o NTLM em suas aplicações e orientando administradores a desabilitá-lo ou configurar seus servidores para bloquear ataques de relay, utilizando o Active Directory Certificate Services (AD CS).
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...