Recientemente se ha descubierto una vulnerabilidad crítica de día cero en todas las versiones de Windows, desde Windows 7 hasta las últimas actualizaciones de Windows 11. Este fallo permite a los atacantes robar credenciales NTLM sin interacción del usuario, simplemente accediendo a un archivo malicioso en el sistema. El alcance de esta vulnerabilidad es especialmente preocupante, ya que afecta a equipos de sobremesa y servidores Windows, una ventana de oportunidad para ataques dirigidos a gran escala.
Un fallo de seguridad de día cero que afecta a todas las versiones del sistema operativo Windows
Si aún no ha recibido la actualización de características de Windows 11 versión 24H2 en su primera ronda de lanzamientos, puede que sea el momento de revisar sus actualizaciones. Microsoft anunció ayer que el despliegue de esta actualización se ha extendido a más sistemas. Sin embargo, la actualización también trae malas noticias en materia de seguridad.
El mismo día, el equipo de 0patch advirtió del descubrimiento de una vulnerabilidad de día cero en Windows, que permite a los atacantes robar identificadores NTLM a través de archivos maliciosos. Este fallo afecta a todas las versiones de Windows y ediciones de servidor. Los investigadores de 0patch han identificado el fallo, que permite a un atacante recuperar las credenciales NTLM simplemente mostrando un archivo malicioso en el Explorador de Windows, ya sea a través de una carpeta compartida, una unidad USB o incluso la carpeta Descargas, si el archivo se ha descargado automáticamente desde una página web maliciosa. Microsoft ha sido informado de la situación y se recomienda encarecidamente a los usuarios que apliquen las actualizaciones de seguridad en cuanto estén disponibles.
El equipo 0patch ha publicado un parche no oficial
El equipo 0patch, especializado en la creación de parches no oficiales, ha destacado recientemente una vulnerabilidad de día cero que podría comprometer la seguridad de los usuarios de Windows. El problema es alarmantemente sencillo: basta con que un usuario vea un archivo malicioso en el Explorador de Windows para que se capturen sus credenciales NTLM. Este ataque puede producirse en escenarios comunes, como abrir una carpeta compartida, conectar una memoria USB maliciosa o simplemente consultar la carpeta Descargas, si previamente se ha descargado un archivo trampa.
Las credenciales NTLM se utilizan para la autenticación en sistemas Windows. Cuando se roban, los atacantes pueden hacerse pasar por el usuario o intentar recuperar la contraseña en texto claro mediante fuerza bruta. Este fallo se une a una preocupante serie de vulnerabilidades similares descubiertas en 2024, lo que pone de relieve la persistencia de amenazas dirigidas a la infraestructura de Windows.
Aunque Microsoft ha tenido conocimiento de esta vulnerabilidad, todavía no se ha publicado ningún parche oficial. Este retraso en la respuesta de Microsoft se hace eco de otras vulnerabilidades sin parche, como PetitPotam y PrinterBug. A la espera de una solución oficial, 0patch ha desarrollado un parche no oficial, que está disponible gratuitamente. Este parche temporal está especialmente recomendado para sistemas sensibles, hasta que se disponga de una solución permanente.
Eliminación progresiva del protocolo NTLM por obsoleto y vulnerable
El problema se produce cuando Microsoft planea retirar gradualmente el protocolo NTLM, considerado obsoleto y vulnerable. La empresa anima ahora a migrar a soluciones de autenticación más seguras y modernas. A la espera del parche oficial, los usuarios deben estar atentos, sobre todo cuando naveguen por carpetas compartidas o conecten dispositivos externos.
