Los investigadores de la firma de seguridad informática Preempt han detectado dos vulnerabilidades críticas en el protocolo de autenticación NTLM de Microsoft, que podrían permitir a los hackers ejecutar malware de manera remota en cualquier ordenador con Windows instalado.

NTLM es un antiguo protocolo de seguridad de Microsoft cuya función es autenticar las credenciales de los usuarios en dominios de Windows. A pesar de que la compañía reemplazó este protocolo con Kerberos para la autenticación predeterminada en Active Directory, Microsoft aún tiene compatibilidad con NTLM, mientras invita a los usuarios a sustituirlo por Kerberos.

Aunque el uso de NTLM no está recomendado, esto no quiere decir que no existan organizaciones que aún lo utilicen. El problema es que este protocolo está plagado de fallos de seguridad, y el más reciente de ellos han sido las dos vulnerabilidades críticas encontradas por Preempt.

¿Cómo podrían atacar los hackers?

Según Preempt, las vulnerabilidades permitirían a los hackers ejecutar código malicioso de forma remota en cualquier PC con Windows, o completar una autenticación en cualquier servidor que admita WIA, la autenticación integrada de Windows. En este sentido, todas las versiones del sistema operativo de Microsoft son susceptibles a los fallos.

3 soluciones de recuperación antivirus para equipos que no inician

El informe señala además que un fallo importante en NTLM es su susceptibilidad a ataques de retransmisión, lo que permite a los hackers obtener la autenticación de un servidor y posteriormente transmitirla a otro, abriendo la posibilidad de que controlen remotamente el servidor utilizando la misma contraseña.

En las próximas horas, se espera que Microsoft lance dos parches de seguridad para proporcionar una solución a estas brechas de seguridad en NTLM. Asimismo, Preempt recomienda que todos los ordenadores estén actualizados con los últimos parches de seguridad de Microsoft, además de realizar los siguientes ajustes a fin de evitar que los hackers irrumpan en los sistemas vulnerables y ejecuten código en las máquinas.

Más en TekCrispy