La última actualización de Microsoft muestra que, al explotar una vulnerabilidad (CVE-2024-21410), los atacantes pueden llevar a cabo un llamado ataque de retransmisión NTLM, también conocido como «Pass the Hash». NTLM es un conjunto de protocolos de seguridad que autentican la identidad de los usuarios y la confidencialidad de sus actividades.
Los actores de amenaza apuntan a programas como Outlook que tienen vulnerabilidad para espiar las credenciales NTLM. El programa es engañado para autenticarse a sí mismo en un servidor falso que controla. Una vez expuestas las credenciales, pueden usarse con fines maliciosos.
¿Qué es exactamente NTLM?
NTLM significa N Tequinología LAN Manager. Este es un conjunto de protocolos de seguridad que autentican la identidad de los usuarios y la confidencialidad de sus actividades (CrowdStrike). Mediante este método de autenticación, es posible iniciar sesión único en servidores web o servidores proxy utilizando las credenciales del usuario de Windows (Wikipedia).
¿Qué deberías hacer?
La seguridad del entorno de servidores Exchange de tu organización es fundamental. Actúa rápido para protegerte frente a posibles amenazas y asegurar operaciones ininterrumpidas.
Estaremos encantados de responder cualquier pregunta que tenga.
