NTLM está desapareciendo: Qué significa la eliminación gradual de Microsoft para los proveedores de servicios gestionados (MSP) y los equipos de TI

Por qué la autenticación heredada es un riesgo de seguridad creciente y cómo prepararse para un entorno Windows centrado en Kerberos

Conclusiones

• NTLM es un riesgo de seguridad conocido que permite técnicas comúnmente utilizadas en ataques de ransomware y otro tipo de ataques.
• La eliminación progresiva ya está en marcha, y las futuras versiones de Windows desactivarán NTLM por defecto a menos que se vuelva a habilitar explícitamente.
• Identificar las dependencias ocultas de NTLM y validar la compatibilidad con Kerberos son fundamentales para una migración exitosa.

Microsoft está eliminando gradualmente su antiguo protocolo de autenticación, NT LAN Manager, o NTLM. Esta es una de esas tecnologías heredadas que ha funcionado 'suficientemente bien' durante décadas, desde que se introdujo la primera versión en 1993 con Windows NT 3.1. Microsoft lanzó NTLMv2 seis años después en Windows NT 4.0 Service Pack 4.

En el momento de su lanzamiento, NTLM resolvió un gran problema para las redes empresariales. Las empresas aún utilizaban escritorios de un solo usuario y grupos de trabajo simples en redes basadas en dominios con autenticación centralizada y uso compartido de archivos. Entre otras características, NTLM proporcionó autenticación de desafío-respuesta y un hashing más fuerte, lo cual fue una gran mejora sobre su predecesor. Funcionó muy bien para lo que estaba destinado a hacer, pero nunca estuvo destinado a proteger identidades de las amenazas que vemos hoy en día. Amenazas como el pass-the-hash, el relay de credenciales y el movimiento lateral son habilitadas por las limitaciones de NTLM.

Si te preguntas por qué NTLM sigue existiendo después de 30 años, la respuesta es simple. NTLM es muy tolerante. ¿DNS roto? ¿Relojes no sincronizados? ¿Aplicaciones heredadas? La autenticación NTLM funciona en estos escenarios, donde Kerberos y otros mecanismos modernos no lo harán. Incluso las redes endurecidas pueden estar usando NTLM como método de 'respaldo' para algunos sistemas.

¿Qué está haciendo Microsoft?

Microsoft anunció por primera vezla eliminación de NTLM en 2023yeliminó formalmente el protocolo a mediados de 2024. Se han definido tres fases distintas para ayudar a los proveedores de servicios gestionados (MSP) y a los equipos de TI a alejarse de NTLM hacia Kerberos:

Fase 1 (Actual): Microsoft lanza herramientas de auditoría mejoradas para dar a los administradores visibilidad sobre dónde todavía se encuentra NTLM. Microsoft tiene detalles sobre las mejoras de auditoría aquí.

Fase 2 (Finales de 2026):Se añadirán la autenticación inicial y de paso mediante Kerberos (IAKerb) y el Centro de Distribución de Claves local (KDC) a los sistemas Windows. Estos ayudarán a eliminar la necesidad de usar NTLM como mecanismo de respaldo. Obtenga más información sobre estas funcionalidades en este artículo de Microsoft.

Fase 3 (Futuro): NTLM estará desactivado por defecto en las próximas versiones de Windows de última generación, requiriendo anulaciones de políticas explícitas para volver a habilitarlo.

Esta migración representa un cambio masivo en la seguridad para los sistemas Windows y podría conllevar algunos desafíos y costes. Los sistemas heredados, la autenticación codificada, los sistemas integrados como los controladores HVAC y las configuraciones de ‘respaldo’ ocultas pueden llevar tiempo para identificar y corregir.

¿Qué implica la migración?

Antes de que NTLM pueda ser deshabilitado, los MSPs y los equipos de TI deben primero identificar dónde se está utilizando. Este es un trabajo de investigación que está respaldado por las nuevas funcionalidades de auditoría mejoradas. El proceso puede llevar tiempo, especialmente si NTLM solo se utiliza durante momentos o eventos específicos.

Cualquier cosa que use NTLM debe ser probada con NTLM deshabilitado. Esto puede implicar configurar los entornos de prueba, configurar la autenticación Kerberos y trabajar con los usuarios finales para validar la funcionalidad.

Cuando todo haya sido probado, la migración de NTLM a Kerberos podría manejarse a través de una política de grupo o podría requerir actualizaciones o cambios de código. Los proveedores de servicios gestionados (MSP) y los equipos de TI pueden necesitar coordinarse con múltiples proveedores y equipos de soporte. Puede haber retrasos inesperados que prolonguen el plazo del proyecto.

Al igual que en cualquier otro proyecto de TI, debería haber un período de monitorización y comunicación para identificar y abordar cualquier efecto inesperado en los usuarios. Este es un buen momento para documentar nuevos procedimientos o políticas y capacitar a quienes puedan necesitar abordar problemas a medida que surjan.  

La supervisión continua después del proyecto ayudará a garantizar que NTLM no se reintroduzca en la red.

NTLM es un riesgo de seguridad

NTLM es explotado por docenas de grupos de amenazas como Volt Typhoon, Scattered Spider, Wizard Spider y Dragonfly. El modelo de autenticación basado en hash es un facilitador clave para ataques que llevan al ransomware o intrusiones avanzadas de amenazas persistentes (APT). Aun así, Microsoft continúa encontrando el uso de NTLM "prevalente en entornos empresariales donde no se pueden implementar protocolos modernos como Kerberos debido a dependencias heredadas, limitaciones de red o lógica de aplicación arraigada". Con suerte, estas organizaciones están trabajando activamente para eliminar las dependencias de NTLM.

Es posible que las empresas no quieran invertir en un proyecto NTLM, especialmente si acaban de invertir en un montón de nuevas máquinas con Windows 11. También puede ser difícil explicar NTLM a una audiencia no técnica. Aun así, NTLM es un riesgo para el negocio y los líderes empresariales generalmente entienden los impactos de un ataque de ransomware. Pasar a la autenticación Kerberos es una inversión estratégica en seguridad con beneficios a largo plazo, y debería hacerse tan pronto como sea posible.