El Renacimiento de los Ataques de Reenvío de NTLM: Todo lo que Necesitas Saber

Los ataques de retransmisión NTLM siguen siendo una amenaza significativa, lo que permite a los atacantes comprometer hosts unidos al dominio y moverse lateralmente. A pesar de ser un ataque antiguo, la retransmisión NTLM a menudo es subestimada y mal entendida. NTLM es un protocolo de autenticación heredado introducido por Microsoft en 1993, y aunque Kerberos es el protocolo preferido, NTLM todavía se utiliza ampliamente. NTLM evita ataques de repetición utilizando un intercambio de desafío-respuesta, pero es vulnerable a ataques de retransmisión. El intercambio de autenticación NTLM implica un intercambio de tres mensajes entre el cliente y el servidor. Hay dos versiones principales del algoritmo de generación de respuestas NTLM: NTLMv1 y NTLMv2. NTLMv1 es un algoritmo obsoleto que utiliza el cifrado DES y es susceptible a ataques, mientras que NTLMv2 utiliza HMAC-MD5 y todavía se utiliza hoy en día. El valor del registro de nivel de compatibilidad LM controla el soporte de la versión NTLM en hosts de Windows, y un nivel más bajo puede habilitar NTLMv1, lo que puede tener consecuencias graves. El cracking de contraseñas es un problema, y un atacante puede crackear un intercambio NTLM capturado para recuperar la contraseña o utilizar el hash NT para ataques de Pase de Hash. Los ataques de retransmisión son la forma más fácil de comprometer hosts unidos al dominio, lo que permite a los atacantes autenticarse como la víctima en el objetivo sin crackear contraseñas.