Pesquisadores de segurança cibernética descobriram uma vulnerabilidade que possibilita ignorar as configurações do Active Directory projetadas para desativar o protocolo de autenticação NTLMv1. Essa exploração ocorre devido a configurações incorretas em aplicativos locais que podem sobrescrever as políticas estabelecidas pela organização. Segundo Dor Segal, pesquisador da Silverfort, isso permite que autenticações com NTLMv1 ainda ocorram, mesmo em ambientes onde o protocolo deveria estar bloqueado.
O NTLMv1, um método de autenticação amplamente utilizado no passado, foi oficialmente descontinuado pela Microsoft em 2024, sendo removido nas versões mais recentes do Windows 11 (24H2) e Windows Server 2025. Apesar de o NTLMv2 oferecer melhorias significativas contra ataques de retransmissão, o NTLMv1 continua sendo um alvo de exploração. Esse protocolo pode ser utilizado por agentes maliciosos para forçar vítimas a se conectarem a sistemas comprometidos ou retransmitirem suas credenciais para obter acesso não autorizado a informações sensíveis.
A vulnerabilidade está relacionada ao protocolo Netlogon Remote Protocol (MS-NRPC), usado para autenticação em redes. Especificamente, o problema envolve um campo chamado ParameterControl na estrutura de dados NETLOGON_LOGON_IDENTITY_INFO, que pode ser configurado para habilitar o uso do NTLMv1. Isso ocorre mesmo quando o Active Directory está configurado para bloquear esse tipo de autenticação. Essa falha evidencia que, embora as organizações implementem políticas de segurança, configurações locais inadequadas em aplicativos podem comprometer a integridade das medidas de proteção.
Para mitigar os riscos associados ao NTLMv1, os especialistas recomendam habilitar auditorias detalhadas para todas as autenticações NTLM, identificar e corrigir aplicativos vulneráveis e garantir que os sistemas estejam atualizados com os patches de segurança mais recentes. A descoberta dessa exploração coincide com outras vulnerabilidades no Windows 11, destacando a necessidade contínua de reforçar a segurança cibernética e revisar regularmente as configurações de rede para evitar brechas.
