Ntlm

Pesquisadores de segurança identificaram um aumento nos ataques de coerção de autenticação que exploram os mecanismos de Chamada de Procedimento Remoto (RPC) do Windows. Esses ataques manipulam o comportamento de autenticação de rede embutido no sistema, permitindo que máquinas enviem credenciais para servidores controlados por atacantes, sem a necessidade de interação do usuário ou privilégios administrativos. Ao abusar de funções RPC menos conhecidas, como MS-DFSNM e MS-EVEN, os atacantes conseguem fazer com que ativos valiosos, como Controladores de Domínio e Servidores de Certificado, se autentiquem em servidores maliciosos. Uma vez autenticados, os atacantes capturam hashes NTLM e realizam ataques de retransmissão para se mover lateralmente na rede. Para se defender contra esses ataques, recomenda-se monitorar rigorosamente o tráfego RPC e implementar técnicas de prevenção, como a assinatura SMB e a proteção estendida para autenticação. A evolução desses ataques representa uma nova ameaça que exige visibilidade aprimorada sobre o comportamento do RPC para evitar a extração de credenciais.

A Microsoft implementou uma mudança significativa em suas versões do Windows 10 e 11, desabilitando a função de pré-visualização de arquivos baixados da internet. Essa decisão visa proteger os usuários de um vetor de ataque que permite o roubo de credenciais sem a necessidade de abrir um arquivo malicioso. A vulnerabilidade estava relacionada ao ‘Mark of the Web’ (MotW), que identifica arquivos baixados da internet. Ao tentar gerar uma prévia, o Windows se conectava automaticamente a servidores maliciosos, enviando hashes NTLM do usuário, que podem ser usados para autenticação em outros serviços da rede. Embora a pré-visualização possa ser reativada, a Microsoft alerta que essa ação deve ser feita com cautela, pois transfere a responsabilidade de segurança para o usuário. Essa mudança é especialmente relevante para ambientes corporativos, onde a segurança das credenciais é crucial. A nova configuração reflete uma prioridade pela segurança em detrimento da conveniência, destacando a necessidade de conscientização sobre os riscos associados a arquivos baixados.

A Microsoft implementou uma atualização de segurança no Windows File Explorer a partir de 14 de outubro de 2025, que desativa automaticamente o painel de pré-visualização para arquivos baixados. Essa medida visa mitigar uma vulnerabilidade que poderia expor hashes NTLM, credenciais sensíveis usadas na autenticação em redes. O vetor de ataque envolve a pré-visualização de arquivos maliciosos que incorporam elementos HTML, permitindo que solicitações de rede não autorizadas sejam disparadas em segundo plano. Com a nova atualização, arquivos de fontes não confiáveis são marcados com o atributo ‘Mark of the Web’, impedindo a pré-visualização e exibindo um aviso ao usuário. Embora a maioria dos usuários não sinta um impacto significativo, a proteção é ativada automaticamente, priorizando a segurança sem comprometer a usabilidade. Para arquivos confiáveis, os usuários podem facilmente reverter a proteção. Essa mudança é especialmente benéfica para ambientes corporativos, onde a segurança é crucial, reduzindo a superfície de ataque e promovendo hábitos de segurança mais seguros. A atualização é um passo importante na luta contra o roubo de credenciais, mantendo os sistemas Windows mais resilientes frente a ameaças cibernéticas.