Se puede maltratar del panel de perspectiva previa en el Explorador de archivos de Windows para exponer los hashes de contraseñas NTLM, que los atacantes pueden reutilizar o intentar descifrar sin conexión. Microsoft incluso ha desactivado las vistas previas de los archivos descargados en la puesta al día más flamante de Windows. Siga la supervisión a continuación para mantenerse a excepto de la fuga de hash NTLM a través de las vistas previas del Explorador de archivos.
Cómo las vistas previas del Explorador de archivos son vulnerables
NT LAN Manager (NTLM) es un protocolo de autenticación de Microsoft para cuentas y servicios de Windows. Oportuno a debilidades de seguridad, ha sido reemplazado en gran medida por Kerberos, pero aún está habitable por compatibilidad con versiones anteriores y se puede maltratar de él en las condiciones adecuadas.
Las vistas previas del Explorador de archivos se pueden beneficiarse para ejecutar solicitudes NTLM que pueden revelar su cuenta nave o la contraseña de golpe al dominio (en hashes) para explotar. Durante la perspectiva previa, Windows puede procesar automáticamente archivos con instrucciones para ejecutar solicitudes NTLM para destinar la contraseña hash a un servidor ladino. Los actores maliciosos pueden intentar forzar la contraseña fuera de rasgo o intentar ejecutar un ataque de paso de hash.
Según Microsoft, este tipo de ataques están en influencia en este momento, razón por la cual en la última puesta al día, Windows dejó de mostrar vistas previas de archivos etiquetados con Mark of the Web (MoTW) (archivos de Internet).
Cómo mantenerse a excepto de la fuga de hash NTLM a través de las vistas previas del Explorador de archivos
Es importante tomar precauciones al obtener una perspectiva previa de los archivos descargados de Internet, ya que Microsoft Defender no puede detectar solicitudes NTLM simplemente escaneando archivos. A continuación se detallan algunos pasos que puede seguir para mantenerse a excepto de dichos ataques:
- Puesta al día a la última traducción de Windows: En la puesta al día de seguridad del 14 de octubre, Windows deshabilitó las vistas previas de archivos marcados con MoTW. En Windows 11, vaya a Ajustes → Puesta al día de Windows y asegúrese de que estén instaladas las últimas actualizaciones.
- Realice un disección del comportamiento de archivos en rasgo: un disección antivirus no será eficaz para detectar solicitudes NTLM maliciosas. Si tiene dudas, debe escanear el archivo con una útil de disección de comportamiento que ejecute el archivo en un entorno restringido y realice un seguimiento del comportamiento. Tanto Joe Sandbox como MetaDefender pueden rajar un archivo en un sandbox para realizar un seguimiento del comportamiento.
- Proteja las credenciales NTLM: puede tomar medidas proactivas para minimizar el éxito de una fuga de NTLM. Siga los métodos de esta supervisión para proteger las credenciales NTLM de Windows de amenazas.
- Seguimiento del comportamiento de los archivos en una máquina imaginario: puede crear una máquina imaginario para probar el comportamiento del archivo y cerciorarse de que no envíe ninguna solicitud de red en la perspectiva previa. Puede usar Hyper-V en Windows o una aplicación de máquina imaginario de terceros para crear una máquina imaginario y luego realizar un seguimiento del uso de Internet al obtener una perspectiva previa del archivo.
- Deshabilite la perspectiva previa del Explorador de archivos en todo el sistema: Para eliminar la posibilidad de fuga de hash NTML a través de la perspectiva previa del archivo, puede desactivar completamente los controladores de perspectiva previa. En el Explorador de archivos, seleccione Opciones desde Ver más menú en la parte superior. Aquí, muévete a la Paisaje pestaña y desmarque Mostrar controladores de perspectiva previa en el panel de perspectiva previa entrada.
Habilitar vistas previas para archivos confiables
Si ha confirmado que el archivo descargado es seguro y desea obtener una perspectiva previa luego de la última puesta al día de Windows, primero deberá desbloquearlo antaño de realizar la perspectiva previa. He aquí cómo:
Haga clic derecho en el archivo y seleccione Propiedades. bajo el Genérico pestaña, marque la Desatascar casilla de demostración en el Seguridad sección y confirme los cambios. Podrás obtener una perspectiva previa del archivo luego.
Sin incautación, este método sólo es viable cuando se desbloquean archivos individuales. Si tienes muchos archivos para desbloquear, tendrás que usar un comando de PowerShell en su circunscripción. Asegúrese de que todos los archivos que desea aislar estén en la misma carpeta. En esa carpeta, mantenga presionado el yema Cambio haga clic derecho en un espacio hueco y seleccione Cala la ventana de PowerShell aquí.
En PowerShell, ejecute el subsiguiente comando:
Get-ChildItem -File | Unblock-File
Esto desbloqueará todos los archivos de la carpeta y podrás obtener una perspectiva previa de ellos.
No poder obtener una perspectiva previa de los archivos de forma predeterminada puede ser en realidad frustrante, pero es necesario por motivos de seguridad hasta que NTLM se reemplace por completo en futuras versiones de Windows. Igualmente debe cerciorarse de utilizar contraseñas únicas y seguras para minimizar el impacto de una fuga de hash NTLM.
