Desenvolvimentos recentes revelaram vulnerabilidades associadas ao painel de visualização do Explorador de Arquivos do Windows, onde hashes de senha NTLM podem ser expostos. Essas explorações permitem que invasores reutilizem ou quebrem essas credenciais offline. Em resposta a esse risco, a Microsoft desativou as visualizações de arquivos para conteúdo baixado em suas atualizações mais recentes do Windows. Este guia descreve estratégias essenciais para proteção contra possível vazamento de hashes NTLM por meio das visualizações do Explorador de Arquivos.
Compreendendo as vulnerabilidades das visualizações do Explorador de Arquivos
O NT LAN Manager (NTLM) serve como um protocolo de autenticação desenvolvido pela Microsoft para diversas contas e serviços do Windows. Embora tenha sido amplamente substituído pelo Kerberos devido às suas deficiências de segurança, o NTLM continua em uso para compatibilidade com versões anteriores. Infelizmente, sua presença cria condições exploráveis.
Os invasores podem utilizar o recurso de pré-visualização do Explorador de Arquivos para executar solicitações NTLM que podem expor senhas locais ou de domínio em formato hash. Durante a pré-visualização, se o arquivo contiver instruções para solicitações NTLM, o Windows pode processar essas solicitações inadvertidamente, transmitindo senhas com hash para servidores maliciosos. Os cibercriminosos podem então tentar quebrar esses hashes offline ou lançar ataques do tipo “pass-the-hash”.
A Microsoft reconheceu a existência de ameaças contínuas relacionadas a esses ataques. Consequentemente, com suas atualizações mais recentes, as visualizações de arquivos identificados com a Marca da Web (MoTW) — normalmente arquivos baixados da internet — não são mais exibidas.
Protegendo seu sistema contra vazamento de hash NTLM
Para minimizar os riscos associados ao vazamento de hash NTLM, especialmente de arquivos baixados da internet, os usuários devem adotar certas práticas de segurança, pois o Microsoft Defender não detecta tentativas de solicitação NTLM de forma conclusiva apenas pela verificação de arquivos. Abaixo, seguem algumas etapas práticas para reforçar suas defesas:
- Mantenha o Windows atualizado: certifique-se de que seu sistema operacional esteja atualizado. A atualização de segurança de 14 de outubro desativou as visualizações de arquivos MoTW. No Windows 11, navegue até Configurações → Windows Update para verificar e instalar as atualizações disponíveis.
- Realize uma análise comportamental online: varreduras antivírus comuns podem não identificar solicitações NTLM prejudiciais. Se você suspeitar que um arquivo pode ser malicioso, utilize uma ferramenta de análise comportamental para abri-lo em um ambiente seguro (sandbox) e monitorar seu comportamento. Ferramentas como Joe Sandbox e MetaDefender são excelentes opções.
- Credenciais NTLM Seguras: Tome medidas proativas para proteger suas credenciais NTLM e reduzir significativamente as chances de uma violação bem-sucedida. Métodos detalhados para proteger as credenciais NTLM do Windows são abordados neste guia.
- Teste o comportamento de arquivos em uma máquina virtual: crie um ambiente virtual para avaliar o comportamento de arquivos suspeitos sem colocar seu sistema principal em risco. Você pode usar o Hyper-V ou aplicativos de máquina virtual de terceiros para observar qualquer atividade de rede durante a visualização.
- Desabilitar as visualizações do Explorador de Arquivos em todo o sistema: Para evitar completamente o vazamento de hash NTLM nas visualizações de arquivos, considere desabilitar completamente os manipuladores de visualização. Abra o Explorador de Arquivos, selecione Opções no menu Ver Mais, navegue até a aba Exibir e desmarque a opção Mostrar manipuladores de visualização no painel de visualização.
Visualizando arquivos confiáveis com segurança
Se você verificar que um arquivo baixado é seguro e quiser visualizá-lo, apesar das alterações na atualização mais recente do Windows, será necessário desbloquear o arquivo. Veja como fazer isso:
Clique com o botão direito do mouse no arquivo e selecione Propriedades. Na aba Geral, localize a seção Segurança e marque a caixa Desbloquear antes de confirmar as alterações. Isso permitirá que você visualize o arquivo.
No entanto, desbloquear arquivos individualmente pode ser tedioso. Para desbloquear em massa, use um comando do PowerShell em uma pasta designada onde todos os arquivos são salvos. Mantenha pressionado Shift, clique com o botão direito em um espaço vazio e selecione Abrir janela do PowerShell aqui.
No PowerShell, execute o comando abaixo:
Get-ChildItem -File | Unblock-File
Isso desbloqueará todos os arquivos na pasta especificada e permitirá que você os visualize adequadamente.
Embora a impossibilidade de visualizar arquivos por padrão possa ser irritante, tais medidas são cruciais para a segurança até que o NTLM seja descontinuado em versões futuras do Windows. Além disso, o uso consistente de senhas fortes e exclusivas pode ajudar a mitigar as consequências de qualquer potencial exposição ao hash NTLM.
Deixe um comentário