Nueva Vulnerabilidad NTLM CVE-2025-24054: Análisis Técnico y Mitigación de Robo de Credenciales

La vulnerabilidad CVE-2025-24054 representa una seria amenaza para los sistemas Windows, permitiendo la divulgación silenciosa de hashes NTLMv2 con una mínima interacción del usuario, específicamente la descarga de un archivo. Esta característica de "cero-clic" reduce significativamente la dependencia de la ingeniería social tradicional en los ataques de robo de credenciales. La explotación exitosa de esta vulnerabilidad puede resultar en la captura de hashes NTLMv2-SSP, que los atacantes pueden posteriormente crackear o utilizar en ataques de retransmisión para lograr movimiento lateral y escalada de privilegios dentro de las redes comprometidas. Dada la activa explotación de CVE-2025-24054 y su inclusión en el catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA , es imperativo que las organizaciones apliquen las actualizaciones de seguridad proporcionadas por Microsoft e implementen medidas de mitigación robustas de manera inmediata. La naturaleza de esta vulnerabilidad, que se activa con una simple descarga, aumenta su potencial de explotación exitosa al disminuir la posibilidad de que los usuarios identifiquen y eviten la amenaza.   

2. Introducción:

El protocolo NTLM (New Technology LAN Manager) ha sido históricamente un componente fundamental para la autenticación en entornos Windows. A pesar de su larga trayectoria y de los esfuerzos continuos de Microsoft por promover la adopción del protocolo más seguro Kerberos , NTLM sigue siendo ampliamente utilizado en muchas infraestructuras debido a requisitos de compatibilidad con sistemas y aplicaciones heredadas. Esta persistente prevalencia convierte a NTLM en un objetivo atractivo para los atacantes. En este contexto, la reciente divulgación de la vulnerabilidad CVE-2025-24054 representa una amenaza crítica. Esta vulnerabilidad explota una debilidad en el manejo de rutas de archivos dentro del proceso de autenticación NTLM en sistemas Windows. Su importancia radica en su activa explotación en escenarios reales y en la mínima interacción requerida por parte del usuario para que se produzca la vulneración. La amplia gama de sistemas operativos Windows afectados por esta vulnerabilidad sugiere que el problema subyacente reside en una implementación fundamental de NTLM dentro del sistema operativo.  

3. CVE-2025-24054: Análisis Técnico Detallado:

3.1. Descripción y Clasificación de la Vulnerabilidad:

La vulnerabilidad CVE-2025-24054 se ha clasificado como un problema de "Control Externo del Nombre de Archivo o Ruta" (CWE-73) presente en la implementación de NTLM en Windows. Esta clasificación indica que la vulnerabilidad surge de la incapacidad del sistema para validar o desinfectar adecuadamente las entradas proporcionadas por el usuario que controlan los nombres de archivos o rutas. Esto permite que un atacante no autorizado realice suplantación (spoofing) a través de una red. El mecanismo específico de explotación implica la manipulación del nombre de archivo o la ruta que se envía al servidor de autenticación NTLM. La vulnerabilidad se manifiesta en la forma en que Windows maneja las rutas UNC (Universal Naming Convention) dentro de ciertos tipos de archivos, lo que conduce a intentos de autenticación NTLM no deseados. El atacante puede controlar la ruta a la que el sistema víctima intenta acceder, engañándolo para que se autentique contra un servidor malicioso. Este escenario pone de manifiesto un problema de confianza en la forma en que Windows procesa las rutas de archivos remotos durante ciertas operaciones. El núcleo del problema reside en que el Explorador de Windows, al procesar ciertos tipos de archivos, no valida adecuadamente la seguridad de las rutas UNC proporcionadas en ellos, lo que resulta en una autenticación NTLM automática a servidores remotos potencialmente maliciosos.  

3.2. Sistemas Operativos Windows Afectados:

La vulnerabilidad afecta a una amplia gama de sistemas operativos Windows , incluyendo versiones de cliente y servidor desde Windows Server 2008 R2 SP1 (x64) y Windows 7 SP1 hasta las últimas versiones de Windows 11 y Windows Server , incluyendo versiones específicas como Windows 10 1507 , Windows Server 2019 y Windows Server 2022. Algunas fuentes mencionan rangos de compilación específicos , por ejemplo, Windows 10 Versión 21H2 afectado desde 10.0.19043.0 hasta 10.0.19044.5608. Estos rangos de compilación son cruciales para determinar si un sistema específico es vulnerable antes de aplicar la actualización.  

Esta tabla proporciona una visión general clara y concisa de los sistemas afectados, facilitando a los lectores la rápida identificación de si su entorno es vulnerable. Esto es crucial para priorizar los esfuerzos de aplicación de parches. La inclusión de rangos de compilación específicos permite una identificación precisa de los sistemas vulnerables.

3.3. Análisis de la Puntuación CVSS:

Las puntuaciones CVSS 3.1 de diferentes fuentes varían ligeramente. NIST NVD asigna una puntuación base de 5.4 MEDIA con un vector de CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N , mientras que CNA (Microsoft Corporation) asigna una puntuación base de 6.5 MEDIA con un vector de CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N. Esta diferencia subraya la naturaleza subjetiva de la evaluación de vulnerabilidades y puede reflejar diferentes valoraciones del impacto potencial. Ambos vectores indican un vector de ataque de Red (AV:N) con una Complejidad de Ataque Baja (AC:L) y sin Privilegios Requeridos (PR:N). Se requiere Interacción del Usuario (UI:R), y el Alcance (S) no cambia (U). La diferencia clave radica en el impacto en Confidencialidad (C), Integridad (I) y Disponibilidad (A). NIST califica la Confidencialidad e Integridad como Baja, y la Disponibilidad como Ninguna, mientras que Microsoft califica la Confidencialidad como Alta, la Integridad como Ninguna y la Disponibilidad como Ninguna. La baja complejidad del ataque y la ausencia de privilegios requeridos facilitan la explotación de la vulnerabilidad por parte de los atacantes. Aunque se requiere interacción del usuario, esta es mínima , lo que aumenta significativamente el riesgo, ya que los usuarios pueden activar la explotación de forma inadvertida. La puntuación de Confidencialidad Alta de Microsoft, en contraste con la puntuación Baja de NIST, probablemente refleja la evaluación de Microsoft de que la fuga de hashes NTLM representa un riesgo significativo para la confidencialidad de las credenciales de los usuarios. A partir de los fragmentos proporcionados, la evaluación de NIST NVD para la Versión 4.0 de CVSS aún no se ha proporcionado. La discrepancia en las puntuaciones CVSS entre NIST y Microsoft, particularmente con respecto al impacto en la Confidencialidad, podría reflejar diferentes interpretaciones del daño potencial. La puntuación más alta de Microsoft podría indicar una comprensión más severa del riesgo asociado con los hashes NTLM filtrados, considerando su posible uso en ataques posteriores. El hecho de que la información filtrada sean credenciales de autenticación, que pueden conducir a una mayor compromiso del sistema, probablemente justifica la calificación de confidencialidad más alta de Microsoft.  

3.4. Explicación Detallada del Mecanismo de Explotación:

Un atacante puede enviar o alojar un archivo malicioso (por ejemplo, un archivo ZIP que contenga un archivo .library-ms o incluso el propio archivo .library-ms) que apunte a un recurso UNC remoto. El atacante crea este archivo para que contenga una ruta UNC a un servidor que controla. Cuando una víctima descarga este archivo (a través del navegador o correo electrónico), el Explorador de Windows intenta acceder al recurso remoto para recuperar metadatos como iconos y miniaturas. Este comportamiento automático se activa por el manejo predeterminado del Explorador de Windows de ciertos tipos de archivos y rutas de red. Durante este proceso, el sistema envía automáticamente las credenciales NTLMv2 de la víctima al servidor del atacante. La autenticación se produce a través del protocolo SMB (Server Message Block) cuando Windows intenta conectarse a la ruta UNC del atacante. El archivo .library-ms desempeña un papel crucial, ya que contiene una estructura XML con una etiqueta simpleLocation que, a su vez, contiene una etiqueta <url> que apunta al servidor SMB del atacante (por ejemplo, \\\\IP_DEL_ATACANTE\\NOMBRE_DEL_RECURSO_COMPARTIDO). Este tipo de archivo está específicamente diseñado para definir bibliotecas de Windows, y la vulnerabilidad radica en el procesamiento inseguro de la ubicación remota especificada en él. Todo esto ocurre sin necesidad de que el usuario abra o ejecute el archivo. El simple acto de descargar el archivo o incluso navegar a una carpeta que lo contenga puede desencadenar la explotación. Incluso una interacción mínima como seleccionar o hacer clic con el botón derecho en el archivo puede activar la vulnerabilidad. El atacante captura el hash NTLM, que luego puede ser descifrado o utilizado en ataques de retransmisión para obtener acceso no autorizado a otros sistemas. El uso de archivos .library-ms es un detalle técnico clave. Estos archivos legítimos están diseñados para apuntar a bibliotecas de archivos, y la vulnerabilidad reside en el manejo inseguro de la ubicación remota especificada dentro de ellos. Los atacantes están aprovechando una característica legítima de Windows de una manera no intencionada y maliciosa. El procesamiento automático de estos archivos por parte del sistema, incluso sin la ejecución explícita del usuario, es el núcleo de la explotación. El intento del Explorador de Windows de recuperar metadatos para estos archivos de biblioteca desencadena la conexión SMB y la autenticación NTLM. El hecho de que la vulnerabilidad pueda activarse con una simple descarga o incluso con la navegación a una carpeta que contenga el archivo malicioso reduce significativamente la eficacia de la formación tradicional en concienciación sobre seguridad que se centra en no abrir archivos adjuntos sospechosos. Los usuarios pueden estar capacitados para no abrir ejecutables o hacer clic en enlaces desconocidos, pero la descarga de archivos es una acción común y a menudo necesaria. Esta vulnerabilidad hace que incluso esta acción aparentemente segura sea potencialmente peligrosa. La mínima interacción requerida elude muchas prácticas comunes de seguridad del usuario.  

4. Explotación Activa en la Naturaleza:

4.1. Análisis de Campañas de Ataque Reportadas:

Check Point Research ha observado campañas de explotación activa a partir del 19 de marzo de 2025. Estas campañas demuestran la amenaza real que representa esta vulnerabilidad. Alrededor del 20 y 21 de marzo de 2025, se dirigió una campaña contra instituciones gubernamentales y privadas en Polonia y Rumanía. Este enfoque selectivo destaca el potencial de actores patrocinados por estados o ciberdelincuentes sofisticados para aprovechar esta vulnerabilidad. Los ataques utilizaron correos electrónicos maliciosos (malspam) con enlaces de Dropbox que contenían archivos ZIP que explotaban CVE-2025-24054 junto con otras vulnerabilidades como CVE-2024-43451. Esto indica que los atacantes a menudo utilizan múltiples vulnerabilidades en sus campañas para aumentar su tasa de éxito. Se descubrieron campañas que distribuían el archivo .library-ms sin comprimir ya el 25 de marzo de 2025. Esto muestra la adaptabilidad de los atacantes para refinar sus métodos de entrega. Se observaron al menos 10 campañas dirigidas a recuperar hashes NTLMv2, con servidores SMB que recopilaban estos hashes alojados en varios países, incluyendo Rusia, Bulgaria, los Países Bajos, Australia y Turquía. Esta distribución global de la infraestructura de los atacantes dificulta los esfuerzos de atribución y desmantelamiento. La rápida explotación de esta vulnerabilidad, pocos días después de que se publicara el parche, indica que los actores de amenazas probablemente conocían la falla antes de la divulgación oficial y tenían exploits listos. Esto subraya la importancia de aplicar los parches inmediatamente después de su publicación. El corto periodo entre la publicación del parche y la explotación activa sugiere un conocimiento previo o un desarrollo de exploits muy eficiente. Las organizaciones que retrasan la aplicación de parches corren un riesgo significativo. Esto enfatiza la necesidad de una gestión proactiva de las vulnerabilidades y una implementación oportuna de los parches.  

4.2. Tácticas, Técnicas y Procedimientos (TTPs) Observados:

El método de entrega principal observado es el correo electrónico malicioso (malspam), que a menudo emplea tácticas de ingeniería social para atraer a las víctimas a descargar los archivos o archivos adjuntos maliciosos. Se ha observado el uso de servicios legítimos de intercambio de archivos como Dropbox para alojar los archivos comprimidos maliciosos, lo que podría eludir algunos filtros de seguridad de correo electrónico. Los archivos comprimidos incluían múltiples archivos de explotación (.library-ms para CVE-2025-24054, .url para CVE-2024-43451, y posiblemente .website y .lnk), probablemente como medida de redundancia y para dirigirse a una gama más amplia de vulnerabilidades o configuraciones de sistemas. Los atacantes utilizaron servidores SMB controlados por ellos para capturar los hashes NTLM, a menudo alojados en infraestructura en varios países para ofuscar su origen. Se han identificado las direcciones IP de los servidores SMB maliciosos observados (159.196.128[.]120 y 194.127.179[.]157). Estas IPs pueden utilizarse para reglas de bloqueo y detección. La inclusión de múltiples métodos de explotación en el mismo ataque sugiere que los actores de amenazas están empleando un enfoque por capas para aumentar sus posibilidades de éxito. Si un método se bloquea o falla, otros aún podrían funcionar. Esta redundancia indica una comprensión sofisticada de las posibles defensas y una determinación para comprometer el objetivo. Los atacantes no confían en un único punto de fallo en sus intentos de explotación.  

4.3. Indicadores de Compromiso (IOCs):

Check Point Research proporcionó IOCs, incluyendo hashes de archivos (SHA1 y MD5) para los archivos maliciosos (xd.website - 84132ae00239e15b50c1a20126000eed29388100, xd.url - 76e93c97ffdb5adb509c966bca22e12c4508dcaa, xd.library-ms - 7dd0131dd4660be562bc869675772e58a1e3ac8e, xd.lnk - 5e42c6d12f6b51364b6bfb170f4306c5ce608b4f, Archive NTLM Exploits Bomb - 9ca72d969d7c5494a30e996324c6c0fcb72ae1ae, Unzipped Exploits - 054784f1a398a35e0c5242cbfa164df0c277da737a43c177a582c777e258246f0ba818f9e73a69ab) y las direcciones IP de los servidores SMB controlados por los atacantes (159.196.128[.]120 y 194.127.179[.]157). Es fundamental utilizar estos IOCs para fines de detección e inteligencia de amenazas. Los equipos de seguridad pueden utilizar estos indicadores para identificar intentos de explotación pasados o en curso dentro de sus redes.  

Proporcionar una tabla clara de IOCs permite a los equipos de seguridad implementar rápidamente reglas de detección en sus herramientas de seguridad (por ejemplo, SIEM, EDR, firewalls) y buscar evidencia de compromiso dentro de sus entornos. Este es un componente crítico de un informe de seguridad procesable.

5. Los Riesgos Persistentes de la Autenticación NTLM:

5.1. Vulnerabilidades de Seguridad Inherentes de NTLM:

NTLM carece de autenticación mutua, lo que significa que el cliente se autentica ante el servidor, pero el servidor no se autentica ante el cliente, haciéndolo susceptible a ataques de intermediario (man-in-the-middle). Esto permite que un atacante intercepte la comunicación y potencialmente retransmita las credenciales. Utiliza algoritmos de cifrado y hash obsoletos (por ejemplo, MD4, DES, RC4) que son vulnerables a ataques de fuerza bruta. Estos algoritmos son significativamente más débiles que los estándares criptográficos modernos. Depende de contraseñas con hash, donde el propio hash de la contraseña puede ser robado y utilizado para autenticarse en otros sistemas sin necesidad de la contraseña en texto plano, una técnica conocida como pass-the-hash. El mecanismo de autenticación automática, diseñado para la comodidad dentro de los entornos de Active Directory, puede conducir a la fuga inadvertida de credenciales cuando los usuarios acceden a recursos de red, incluso potencialmente maliciosos, sin solicitudes repetidas. Las versiones más antiguas de NTLM carecen de salting, lo que facilita el descifrado de contraseñas, ya que la misma contraseña siempre producirá el mismo hash. Si bien NTLMv2 introdujo el salting, no abordó completamente todas las preocupaciones de seguridad. Solo utiliza un factor de autenticación (contraseña) y carece de soporte para la Autenticación Multifactor (MFA), lo que lo hace más vulnerable a la vulneración si la contraseña es débil o robada. Los defectos de diseño fundamentales de NTLM lo convierten en un protocolo inherentemente inseguro frente a las técnicas de ataque modernas. Su uso continuado introduce un riesgo significativo para las organizaciones. NTLM fue diseñado para una era diferente de la informática y las amenazas de seguridad. Sus debilidades arquitectónicas están bien documentadas y se explotan activamente. Las prácticas de seguridad modernas enfatizan mecanismos de autenticación más sólidos y la autenticación multifactor, de la que NTLM carece.  

5.2. Resumen Histórico de Exploits y Vectores de Ataque NTLM Notables:

Los ataques pass-the-hash, donde los atacantes utilizan hashes NTLM robados para autenticarse en otros sistemas, permitiendo el movimiento lateral sin necesidad de la contraseña real. Los ataques de retransmisión NTLM, donde un atacante intercepta un intento de autenticación NTLM entre un cliente y un servidor y lo retransmite a otro servidor, permitiendo al atacante realizar acciones con los privilegios del usuario autenticado, lo que potencialmente conduce al compromiso del dominio. Los ataques de coerción como PetitPotam, PrinterBug (también conocido como SpoolSample) y DFSCoerce, que obligan a los servidores, incluidos los controladores de dominio, a autenticarse en una máquina controlada por el atacante, lo que permite al atacante capturar sus hashes NTLM. Los ataques que aprovechan WPAD (Web Proxy Auto-Discovery), LLMNR (Link-Local Multicast Name Resolution) y el envenenamiento NetBIOS, donde los atacantes interceptan las solicitudes de resolución de nombres y engañan a las víctimas para que envíen sus credenciales NTLM. Las vulnerabilidades en productos de Microsoft como Word, Outlook, Access, Media Player y Publisher que pueden explotarse para filtrar hashes NTLM a través de diversos mecanismos como enlaces remotos, imágenes incrustadas y procesamiento de archivos. La vulnerabilidad de Windows Themes (CVE-2024-21320) que también permitió la fuga de credenciales NTLM con solo un usuario viendo un archivo de tema malicioso en el Explorador. CVE-2025-24054 es la última de una larga lista de vulnerabilidades asociadas con el protocolo NTLM. Este patrón refuerza la necesidad de alejarse de NTLM lo antes posible. El continuo descubrimiento de nuevas vulnerabilidades NTLM demuestra los riesgos inherentes asociados con este protocolo obsoleto. Las organizaciones no deben considerar la aplicación de parches como una solución final, sino como una medida temporal hasta que NTLM pueda ser reemplazado por completo con alternativas más seguras como Kerberos.  

6. Aprovechamiento de Herramientas de Seguridad para la Explotación NTLM:

6.1. Responder:

Responder es una herramienta de intermediario (Man-in-the-Middle) que se utiliza para explotar protocolos de resolución de nombres de difusión (LLMNR, NBT-NS, mDNS). Responder escucha estas solicitudes de difusión y responde como si fuera el servidor deseado, capturando los intentos de autenticación. Puede utilizarse para envenenar estos protocolos respondiendo a las solicitudes de resolución de nombres antes que los servidores legítimos, engañando a la víctima para que envíe sus hashes NetNTLM a la máquina del atacante. Se utiliza para explotar WPAD para el robo de credenciales actuando como un servidor WPAD falso y solicitando credenciales NTLM a las víctimas. Desempeña un papel en la configuración de ataques de retransmisión NTLM junto con Impacket al capturar solicitudes de autenticación que ntlmrelayx.py puede luego retransmitir a otros servicios. Responder es una herramienta versátil y ampliamente utilizada en el arsenal del atacante para capturar credenciales NTLM. Su capacidad para explotar las configuraciones predeterminadas de Windows lo hace altamente eficaz para el acceso inicial y la recopilación de credenciales. La facilidad con la que Responder puede utilizarse para capturar credenciales subraya las vulnerabilidades presentes en los protocolos de red subyacentes y la configuración predeterminada de Windows. Los atacantes a menudo utilizan Responder como primer paso en una cadena de ataque más compleja.  

6.2. Impacket:

Impacket es una potente biblioteca de Python utilizada para crear y manipular paquetes de red, proporcionando una amplia gama de herramientas para diversas tareas de seguridad de red. ntlmrelayx.py es la herramienta principal para realizar ataques de retransmisión NTLM al recibir solicitudes de autenticación NTLM capturadas y retransmitirlas a los servicios de destino. Tiene la capacidad de retransmitir las credenciales capturadas a diversos servicios como SMB, LDAP, HTTP y otros que admiten la autenticación NTLM, lo que permite a los atacantes autenticarse como la víctima en estos servicios. secretsdump.py se utiliza para extraer secretos SAM (Security Account Manager) y LSA (Local Security Authority), incluyendo hashes de contraseñas, de un sistema de destino después de una retransmisión exitosa, lo que permite una mayor escalada de privilegios y movimiento lateral. Se utiliza para coaccionar la autenticación desencadenando solicitudes de autenticación de los sistemas de destino y realizando ataques avanzados como la Delegación Restringida Basada en Recursos (RBCD) y las Credenciales Fantasma después de una retransmisión LDAP exitosa. Impacket proporciona un conjunto de herramientas completo para explotar las vulnerabilidades NTLM, desde la retransmisión de credenciales capturadas hasta la realización de actividades avanzadas posteriores a la explotación como el volcado de credenciales y la manipulación de objetos de Active Directory. La amplitud de las capacidades de Impacket lo convierte en una herramienta poderosa para los atacantes que buscan obtener acceso persistente y escalar privilegios dentro de un entorno Windows. Permite un proceso de ataque de varias etapas, comenzando con la captura de credenciales y progresando hasta el compromiso total del dominio.  

6.3. Hashcat:

Hashcat desempeña el papel de una potente herramienta de recuperación de contraseñas utilizada para el descifrado offline de hashes de contraseñas capturadas, incluyendo hashes NTLM. Tiene la capacidad de descifrar hashes NetNTLMv1/v2 obtenidos a través de herramientas como Responder, lo que permite a los atacantes recuperar las contraseñas en texto plano. El éxito del descifrado depende de factores como la complejidad y la longitud de la contraseña y la potencia de cálculo disponible para el atacante. Las contraseñas robustas y únicas aumentan significativamente la dificultad del descifrado. Incluso si se capturan hashes NTLM, no son utilizables inmediatamente como contraseñas en texto plano. Sin embargo, herramientas como Hashcat hacen posible que los atacantes recuperen las contraseñas originales, especialmente si son débiles o comunes, lo que permite la reutilización directa de las credenciales. Si bien NTLM utiliza hashing, los algoritmos no son lo suficientemente fuertes como para resistir las técnicas de descifrado modernas, particularmente para contraseñas menos complejas. Los atacantes a menudo utilizan ataques de diccionario y técnicas de fuerza bruta con Hashcat para recuperar las contraseñas originales de los hashes capturados.  

7. Estrategias de Mitigación Robustas:

7.1. Acciones Inmediatas:

Es fundamental aplicar la actualización de seguridad publicada por Microsoft en marzo de 2025 que aborda la vulnerabilidad CVE-2025-24054. Este parche probablemente resuelve el manejo inseguro de las rutas UNC en los archivos .library-ms. Las agencias del Poder Ejecutivo Civil Federal (FCEB) están obligadas a aplicar las correcciones necesarias para esta deficiencia antes del 8 de mayo de 2025, para proteger sus redes a la luz de la explotación activa. Este plazo subraya la urgencia para todas las organizaciones. El mandato de CISA para la aplicación de parches subraya la urgencia y la gravedad de esta vulnerabilidad para las entidades gubernamentales, y esta urgencia debe extenderse a todas las organizaciones, independientemente de su sector. Los mandatos gubernamentales a menudo reflejan un alto nivel de preocupación con respecto a una amenaza de seguridad particular. El plazo para la aplicación de parches indica el impacto potencial si la vulnerabilidad no se aborda de inmediato, y las organizaciones deben priorizar esta acción en consecuencia.  

7.2. Mejoras a Largo Plazo de la Postura de Seguridad:

Se recomienda deshabilitar la autenticación NTLM siempre que sea posible y realizar la transición al protocolo más seguro Kerberos. Esto elimina el principal vector de ataque para los exploits basados en NTLM. Se puede utilizar la directiva de grupo para restringir el uso de NTLM (Seguridad de red: Restringir NTLM) para auditar, denegar o deshabilitar la autenticación NTLM a nivel de dominio, servidor o cliente. Se debe aplicar la firma SMB y la Protección Extendida para la Autenticación (EPA) para evitar los ataques de retransmisión NTLM añadiendo comprobaciones de integridad a la comunicación SMB y vinculando las solicitudes de autenticación a canales específicos. Se debe implementar la segmentación de red limitando el movimiento lateral dentro de la red mediante el aislamiento de los sistemas y recursos críticos, lo que dificulta que los atacantes exploten las credenciales comprometidas en otras máquinas. Se debe aprovechar Credential Guard, que utiliza seguridad basada en virtualización para aislar y proteger los hashes NTLM y otras credenciales sensibles, haciéndolos inaccesibles al malware que se ejecuta en el sistema operativo. Se debe bloquear el tráfico SMB saliente (puertos 445 y 139) a redes no confiables o externas en el firewall para evitar conexiones a servidores SMB controlados por atacantes. Se debe deshabilitar la resolución automática de rutas UNC en software no confiable o a través de la configuración de directivas de grupo para evitar intentos de autenticación NTLM no deseados. Se deben supervisar los intentos de autenticación para detectar actividades sospechosas (Event ID 4625) en los registros de eventos de Windows, buscando patrones inusuales, IPs de origen/destino o intentos fallidos. Si bien no está directamente relacionado con las vulnerabilidades NTLM, se debe implementar la Autenticación Multifactor (MFA) para proporcionar una capa adicional de seguridad, lo que dificulta que los atacantes utilicen credenciales robadas, incluso si logran descifrar los hashes NTLM. Se deben mantener todos los sistemas operativos, aplicaciones y software de seguridad actualizados de forma regular y oportuna para abordar las vulnerabilidades conocidas. Si estos protocolos heredados no son esenciales para la funcionalidad de la red, se deben deshabilitar LLMNR y NBT-NS para evitar que los atacantes los utilicen para ataques de envenenamiento y capturar credenciales NTLM. Un enfoque de seguridad por capas, que combine la aplicación inmediata de parches con mejoras estratégicas a largo plazo como la deshabilitación de NTLM y la implementación de métodos de autenticación modernos, es crucial para mitigar eficazmente los riesgos asociados con CVE-2025-24054 y otras vulnerabilidades NTLM. Ninguna estrategia de mitigación única es infalible. Un enfoque de defensa en profundidad proporciona múltiples capas de protección, lo que dificulta el éxito de los atacantes. Las organizaciones deben priorizar un enfoque holístico de la seguridad que aborde tanto las amenazas inmediatas como las debilidades subyacentes.  

8. Detección y Respuesta a Incidentes:

8.1. Monitoreo de Eventos de Autenticación Sospechosos:

Es importante supervisar los registros de eventos de Windows en busca del Event ID 4625 (intentos de autenticación fallidos) con un enfoque específico en la autenticación NTLM y direcciones IP de origen/destino inusuales, especialmente aquellas que se originan o se dirigen a redes externas o infraestructura maliciosa conocida. Se deben correlacionar estos eventos con los registros de tráfico de red que muestren conexiones SMB (puertos 445 y 139) a destinos externos o inesperados. Un aumento repentino en los intentos fallidos de autenticación NTLM desde un host específico podría indicar un intento de explotación o descifrado de credenciales.  

8.2. Análisis del Tráfico de Red:

Se debe supervisar el tráfico de red en busca de conexiones SMB (puertos 445 y 139) que se originen en hosts internos y se dirijan a direcciones IP externas, especialmente aquellas conocidas por estar asociadas con actividades maliciosas (consultar los IOCs) o países donde la organización no tiene conexiones comerciales legítimas. Se debe inspeccionar el tráfico SMB en busca de handshakes de autenticación NTLM que ocurran poco después de que un usuario descargue un archivo de una fuente no confiable. Se debe buscar tráfico SMB dirigido a las direcciones IP de los IOCs identificados en la investigación.

8.3. Recomendaciones para Responder a un Incidente Confirmado:

Se debe aislar inmediatamente la(s) máquina(s) afectada(s) de la red para evitar un mayor movimiento lateral y una posible propagación del ataque. Se deben analizar los archivos descargados y los registros del sistema en la máquina afectada en busca de evidencia de actividad maliciosa, incluyendo la presencia de archivos .library-ms de fuentes sospechosas. Se deben restablecer las contraseñas de cualquier cuenta de usuario potencialmente comprometida que estuviera activa en la máquina afectada, y se debe considerar la posibilidad de forzar un restablecimiento de contraseña para todos los usuarios si el alcance del compromiso es incierto. Se deben investigar otros sistemas a los que la cuenta de usuario comprometida podría haber accedido para determinar si el atacante ha logrado establecerse en otro lugar de la red. Se debe revisar y reforzar la formación en concienciación sobre seguridad para todos los usuarios con respecto a los riesgos de descargar archivos de fuentes no confiables y la importancia de informar cualquier actividad sospechosa. Se debe asegurar que todos los sistemas del entorno estén parcheados con las últimas actualizaciones de seguridad, incluyendo el parche para CVE-2025-24054. Se debe considerar la posibilidad de realizar una auditoría de seguridad exhaustiva de la infraestructura de red y los mecanismos de autenticación para identificar y abordar cualquier otra vulnerabilidad potencial que pudiera haber sido explotada o pudiera ser explotada en el futuro.