Protegendo credenciais NTLM do Windows contra ameaças de segurança de dia zero

Protegendo credenciais NTLM do Windows contra ameaças de segurança de dia zero

O protocolo de autenticação NTLM (NT LAN Manager), embora ainda predominante em dispositivos Windows, apresenta riscos significativos à segurança cibernética. Habilitado por padrão, o NTLM pode se tornar uma vulnerabilidade, potencialmente expondo as senhas do seu sistema durante ataques de malware. Os invasores costumam se aproveitar dessas vulnerabilidades usando técnicas sofisticadas de interceptação (man-in-the-middle – MitM), tornando vital que os usuários tomem medidas proativas para proteger suas credenciais NTLM.

Compreendendo as ameaças NTLM

O NTLM opera convertendo sua senha em um formato hash, permitindo a verificação sem a transmissão da senha real pela rede. No entanto, esse método é suscetível a ataques. Se um malware se infiltrar em seu sistema, sua senha poderá ser facilmente comprometida.

Destacando vulnerabilidades recentes, pesquisadores de segurança da Check Point detalharam a falha “CVE-2025-24054”, que tem levado a ameaças cibernéticas constantes visando dados sensíveis, principalmente em setores governamentais e corporativos na Polônia e na Romênia. Os invasores estão implementando diversas técnicas, incluindo ataques pass-the-hash (PtH), rainbow table e relay, visando principalmente contas administrativas de alto nível.

Embora esses ataques sejam frequentemente direcionados a organizações, usuários individuais não estão imunes. Até mesmo uma simples interação com um arquivo malicioso pode resultar na exposição de senhas. Portanto, é crucial garantir que seu sistema Windows seja atualizado regularmente; a Microsoft lançou uma atualização de segurança com o objetivo de impedir esse tipo específico de exploração.

1. Desabilite a autenticação NTLM usando o PowerShell

Para fortalecer sua defesa contra riscos relacionados ao NTLM, comece desabilitando a autenticação NTLM por meio do PowerShell. Siga estes passos:

  1. Inicie o PowerShell no modo de administrador.
  2. Execute o seguinte comando para bloquear o uso de NTLM sobre SMB (Server Message Block):

Set-SMBClientConfiguration -BlockNTLM $true

Modifique a configuração do cliente SMB de destino no PowerShell para proteger contra ataques NTLM.

Confirme a modificação pressionando A para sim. Ao bloquear o NTLM sobre SMB, você reduz significativamente as vulnerabilidades a ataques de PtH e retransmissão, embora isso possa afetar dispositivos mais antigos que dependem do NTLM.

Se você tiver problemas de compatibilidade, reverta a configuração usando:

Set-SMBClientConfiguration -BlockNTLM $false

2. Mude para NTLMv2 no Editor do Registro

A transição do NTLM mais antigo para o NTLMv2, mais seguro, é crucial para uma maior segurança. Comece fazendo backup do seu registro e abrindo o Editor do Registro como administrador. Navegue até o seguinte caminho:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Chave de registro Lsa (Autoridade de Segurança Local) e

Localize ou crie o valor DWORD LmCompatibilityLevel. Defina-o como “3”, “4” ou “5” para garantir que apenas respostas NTLMv2 sejam enviadas, bloqueando efetivamente o NTLMv1.

Em seguida, ajuste o seguinte caminho do registro:

COMPUTER\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters

Certifique-se de que o DWORD RequireSecuritySignature esteja definido como “1”.Este ajuste exigirá assinatura de segurança para conexões SMB, adicionando outra camada de proteção contra roubo de credenciais.

3. Habilite a Proteção em Nuvem na Segurança do Windows

Para quem prefere não modificar o registro, aproveitar o recurso integrado de Segurança do Windows pode fornecer proteção substancial contra ameaças online. Acesse esse recurso em Proteção contra vírus e ameaças > Gerenciar configurações > Proteção fornecida pela nuvem.

Habilitando a proteção fornecida pela nuvem na segurança do Windows.

4. Explorando medidas de segurança adicionais

Além das etapas mencionadas acima, considere estas recomendações adicionais da Microsoft para reforçar suas defesas contra roubo de credenciais NTLM:

  • Evite links suspeitos: Muitas ameaças relacionadas ao NTLM se propagam por meio de links maliciosos ou de iscas de clique. Mesmo que a Segurança do Windows sinalize essas ameaças, tenha cuidado para reduzir a exposição.
  • Atualize seu sistema regularmente: verifique e aplique atualizações do Windows consistentemente para se proteger contra vulnerabilidades recém-descobertas.
  • Utilize a autenticação multifator (MFA): implementar a MFA pode fornecer uma camada adicional de proteção, tornando o acesso não autorizado substancialmente mais difícil.
  • Eduque a si mesmo e aos outros: estar ciente de táticas de engenharia social e esquemas de phishing pode ajudar a prevenir exposição acidental.

Tomar essas medidas críticas reduzirá significativamente as chances de suas credenciais NTLM do Windows serem comprometidas, aumentando a segurança geral do sistema.

Artigos relacionados:

Cenários ideais para utilizar o modo de raciocínio dos chatbots de IA
Crie slides do PowerPoint a partir de documentos usando o Copilot: aqui está um guia prático

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *