Pesquisadores de segurança cibernética da ACROS Security identificaram uma vulnerabilidade de dia zero no Windows que permite o roubo de hashes NTLM sem qualquer interação do usuário. A falha ainda não recebeu um identificador CVE, mas já foi classificada como altamente perigosa, pois afeta todas as versões do Windows, incluindo Windows 7, Windows 10 e Windows 11, bem como versões de servidor desde o Server 2008 R2 até o Server 2025.
A vulnerabilidade foi descoberta durante uma análise rotineira de segurança, e os pesquisadores alertam que a falha pode ser explorada para comprometer redes inteiras sem que os usuários percebam. O NTLM (NT LAN Manager) é um protocolo de autenticação amplamente utilizado no Windows, e a exposição de seus hashes pode permitir que invasores obtenham credenciais e acessem sistemas sem autorização.
Como a vulnerabilidade funciona?
De acordo com os especialistas, a falha permite a captura de hashes NTLM de forma silenciosa, sem qualquer ação do usuário. Isso significa que um atacante pode roubar credenciais automaticamente quando um sistema vulnerável está conectado à rede.
A exploração da falha pode ocorrer através de um ataque man-in-the-middle (MITM), no qual o invasor intercepta as comunicações entre dispositivos dentro da mesma rede. Outra possibilidade é a execução remota de código (RCE), onde o atacante induz o sistema vulnerável a autenticar-se involuntariamente em um servidor malicioso, expondo os hashes NTLM.
Impacto e versões afetadas
A vulnerabilidade é particularmente preocupante porque afeta todas as versões modernas do Windows. Isso inclui desde sistemas descontinuados, como o Windows 7, até as versões mais recentes do Windows 11. Além disso, versões do Windows Server, de 2008 R2 a 2025, também estão vulneráveis.
Vejam Também
Especialistas alertam que organizações que utilizam autenticação NTLM devem tomar medidas imediatas para mitigar os riscos, pois a falha permite que hackers obtenham acesso sem precisar enganar os usuários.
Possíveis explorações e consequências
Cibercriminosos podem explorar essa falha para realizar ataques de movimentação lateral dentro de redes corporativas, comprometendo servidores críticos e espalhando malware sem levantar suspeitas.
A captura dos hashes NTLM permite que atacantes realizem ataques de “pass-the-hash“, onde o invasor usa um hash capturado para se autenticar em um sistema sem precisar da senha original.
Além disso, ataques ransomware podem se beneficiar dessa vulnerabilidade, já que a obtenção de credenciais pode facilitar a criptografia de arquivos e extorsão de empresas e usuários.
Microsoft ainda não lançou um patch
Até o momento, a Microsoft não disponibilizou uma correção oficial para a vulnerabilidade, e a ausência de um identificador CVE indica que o problema ainda está em análise. No entanto, especialistas recomendam medidas imediatas para mitigar os riscos.
Como se proteger da vulnerabilidade?
Embora não haja uma correção oficial, existem algumas práticas recomendadas para minimizar o impacto da falha:
- Desativar NTLM sempre que possível – Organizações podem configurar o Active Directory para desativar o uso do NTLM e adotar protocolos mais seguros, como Kerberos.
- Restringir o tráfego de saída de NTLM – Configurar firewalls e políticas de rede para impedir que credenciais sejam enviadas a servidores desconhecidos.
- Utilizar autenticação multifator (MFA) – O uso de MFA pode dificultar a exploração da vulnerabilidade, tornando mais difícil para atacantes usarem credenciais roubadas.
- Monitorar tráfego de rede – Ferramentas de detecção de ameaças podem ajudar a identificar tentativas de roubo de hashes NTLM.
- Aplicar patches emergenciais – A ACROS Security já disponibilizou uma solução temporária através do 0patch, que pode ser usada enquanto a Microsoft não lança um patch oficial.
Reação do setor de segurança
A descoberta desta vulnerabilidade acendeu um alerta no setor de cibersegurança, com empresas e especialistas pedindo uma resposta rápida da Microsoft. Muitos recomendam que administradores de TI adotem as medidas de mitigação imediatamente, especialmente em ambientes corporativos.
Empresas especializadas em segurança cibernética já estão analisando o impacto da falha e divulgando guias para reduzir os riscos. Algumas organizações também implementaram políticas internas para minimizar a exposição de credenciais NTLM.
Conclusão
A vulnerabilidade recém-descoberta representa um risco significativo para usuários e empresas, uma vez que permite a captura de credenciais sem qualquer ação do usuário. Enquanto a Microsoft não lança um patch oficial, medidas como a desativação do NTLM e o uso de soluções temporárias, como as da ACROS Security, são essenciais para proteger sistemas vulneráveis.
A falha reforça a importância de práticas de segurança rigorosas e de atualizações frequentes nos sistemas operacionais. A expectativa é que a Microsoft se pronuncie em breve sobre a vulnerabilidade e forneça uma correção para mitigar os riscos associados.
