Microsoft ha anunciado un enfoque de tres fases para eliminar gradualmente New Technology LAN Manager (NTLM) como parte de sus esfuerzos para migrar entornos Windows a opciones más potentes basadas en Kerberos.
El desarrollo se produce más de dos años después de que el gigante tecnológico revelara planes para retirar su tecnología heredada debido a vulnerabilidades que podrían facilitar ataques de retransmisión y permitir que partes malintencionadas obtengan acceso no autorizado a los recursos de la red. NTLM quedará oficialmente obsoleto en junio de 2024 y ya no recibirá actualizaciones.
«NTLM consta de protocolos de seguridad diseñados originalmente para proporcionar autenticación, integridad y confidencialidad a los usuarios», explica Mariam Gewida, segunda directora técnica de programas de Microsoft. «Sin embargo, a medida que las amenazas a la seguridad han evolucionado, también lo han hecho los estándares para cumplir con las expectativas de seguridad modernas. NTLM ahora utiliza un cifrado débil, lo que lo hace susceptible a una variedad de ataques, incluyendo ataques de repetición y de intermediario».
Microsoft dijo que a pesar de su estado obsoleto, el uso de NTLM sigue siendo frecuente en entornos empresariales donde los protocolos modernos como Kerberos no se pueden implementar debido a dependencias heredadas, limitaciones de red o lógica de aplicación integrada. Esto expone a las organizaciones a riesgos de seguridad, como ataques de repetición, retransmisión y paso de hash.
Para mitigar este problema de forma segura, la empresa ha adoptado una estrategia de tres pasos que allana el camino para desactivar NTLM de forma predeterminada.
Fase 1: generar visibilidad y control con auditoría NTLM mejorada para comprender mejor dónde y por qué se sigue utilizando NTLM (disponible ahora) Fase 2: abordar obstáculos comunes para la migración de NTLM a través de funciones como IAKerb y centros de distribución de claves locales (KDC) (prelanzamiento), así como actualizar los componentes principales de Windows para priorizar la autenticación Kerberos (planificada para el segundo semestre de 2026) Fase 3: deshabilitar NTLM en la próxima versión Windows Server y los clientes Windows asociados tienen problemas y requieren explícitamente Rehabilitación con nuevos controles de políticas.
Microsoft ve esta transición como un paso importante hacia un futuro sin contraseñas y resistente al phishing. Además, las organizaciones que dependen de NTLM deben realizar auditorías, asignar dependencias, migrar a Kerberos, probar configuraciones sin NTLM en entornos que no sean de producción y habilitar actualizaciones de Kerberos.
«Deshabilitar NTLM de forma predeterminada todavía no significa eliminar completamente NTLM de Windows», afirmó Gewida. «En cambio, significa que Windows se entrega seguro de forma predeterminada, con la autenticación NTLM de red bloqueada y deshabilitada automáticamente».
«El sistema operativo dará prioridad a las alternativas modernas y más seguras basadas en Kerberos, mientras que los escenarios heredados comunes se abordarán a través de nuevas funciones próximas, como KDC local e IAKerb (prelanzamiento)».
Source link
