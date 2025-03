Un nuovo problema di sicurezza affligge il sistema operativo Windows, suscitando preoccupazioni tra gli esperti del settore. Questa vulnerabilità consente agli attaccanti di rubare le credenziali NTLM, sfruttando un metodo ingannevole che coinvolge l’interazione con file dannosi tramite Esplora file. L’impatto di questa scoperta potrebbe minacciare gravemente la sicurezza delle reti aziendali.

I rischi legati al furto delle credenziali NTLM

L’interesse degli attaccanti nel rubare le credenziali NTLM, abbreviazione di NT LAN Manager, è tenuto in gran conto per i numerosi attacchi informatici che queste possono facilitare. Le credenziali NTLM non consistono nella password propriamente detta, ma in un hash, ovvero un valore crittografato. Questo hash può essere utilizzato per l’autenticazione, consentendo agli aggressori di impersonare altri utenti senza dover decifrare le loro password.

Uno dei metodi di attacco più comuni è il pass-the-hash, dove gli aggressori usano l’hash NTLM rubato per autenticarsi a diversi servizi senza la necessità di conoscere le password reali. Questo metodo è particolarmente efficace, poiché molte applicazioni accettano gli hash come forma di autenticazione valida.

Un’altra tecnica nota è l’NTLM Relay, in cui un attaccante si inserisce tra la comunicazione di un client e un server. In questo scenario, il malintenzionato può “rilanciare” le credenziali NTLM rubate a un server controllato, facilitando ulteriori accessi illeciti.

L’accesso agli hash NTLM degli account amministrativi offre agli attaccanti la possibilità di controllare l’intera rete, iniziando movimenti laterali per compromettere altri dispositivi e server aziendali, amplificando l’impatto dell’attacco.

La nuova vulnerabilità di NTLM in Windows

La scoperta della vulnerabilità è merito dei ricercatori di ACROS Security, che hanno identificato la falla nella gestione degli hash NTLM. Questa problematica colpisce tutte le versioni di Windows, inclusi Windows 7, Windows 10, Windows 11 e Windows Server fino al 2025.

Gli attaccanti possono sfruttare questa vulnerabilità inducendo l’utente a interagire con file dannosi. Ciò può avvenire attraverso l’apertura di cartelle condivise, l’uso di dispositivi USB compromessi o caricando file malesi da pagine web infette.

Secondo gli esperti, la vulnerabilità è già stata sfruttata in attacchi reali, dimostrando la gravità della situazione. La rapidità con cui si è diffusa questa informazione tra i criminali informatici è preoccupante e rientra tra le emergenze da affrontare tempestivamente.

La risposta di ACROS e Microsoft

Di fronte a questa minaccia, ACROS Security ha emesso micropatch non ufficiali attraverso il servizio 0patch, offrendo correzioni per le versioni vulnerabili di Windows. Questi aggiornamenti correttivi sono disponibili gratuitamente e possono essere applicati senza riavviare il sistema, garantendo una protezione immediata fino a quando Microsoft non rilascerà una patch ufficiale.

Microsoft, dal canto suo, ha riconosciuto il problema e ha garantito che saranno adottate le misure necessarie per tutelare i propri utenti e clienti. Le azioni per risolvere la vulnerabilità sono state avviate, ma nel frattempo, gli utenti devono rimanere vigili e intraprendere precauzioni adeguate.

La necessità di un’evoluzione nel sistema di autenticazione

L’utilizzo di credenziali NTLM è prevalente in ambienti aziendali legacy, dove l’aggiornamento a soluzioni più sicure rappresenta una sfida considerevole. Questo scenario consente agli aggressori di mantenere accessi latentici alle reti aziendali, poiché l’NTLM continua a essere utilizzato per le autenticazioni di routine.

Tuttavia, si sottolinea l’urgenza di abbandonare l’uso di NTLM in favore di sistemi più sicuri, come l’autenticazione basata su certificati o Kerberos. Recentemente, Microsoft ha rimosso supporto per NTLM su Windows 11 24H2, evidenziando l’intenzione di modernizzare le procedure di autenticazione e ridurre il rischio associato a metodi obsoleti e vulnerabili.