Tecnologia em palavras simples

Como Proteger Suas Credenciais NTLM do Windows contra Ameaças Zero-Day

Credencial Ntlm do Windows em Destaque

Dispositivos Windows usam um método de login mais antigo chamado NTLM, que está habilitado por padrão. Em caso de um ataque de malware, ele pode expor sua senha do sistema para hackers. Eles podem usar diferentes tipos de ataques man-in-the-middle para roubar seus detalhes de login do Windows. Felizmente, você pode proteger suas credenciais NTLM do Windows contra ameaças zero-day usando algumas pequenas alterações nas configurações do NTLM.

Como as Ameaças NTLM do Windows Rouban suas Senhas

NTLM (NT LAN Manager) é um método de autenticação mais antigo ainda utilizado em muitos dispositivos Windows. Ele funciona transformando sua senha em um código (hash) para verificá-lo sem enviar a senha pela rede. Isso não é seguro, pois se seu PC for comprometido, sua senha de login estará visível para os atacantes.

Recentemente, em abril de 2025, o pesquisador de segurança Check Point informou sobre a divulgação de hashes NTLM por meio de uma vulnerabilidade chamada “CVE-2025-24054”. Segundo eles, é um ataque cibernético em curso direcionado a usuários governamentais e empresariais na Polônia e na Romênia. Os atacantes estão usando diferentes tipos de ataques man-in-the-middle, incluindo pass-the-hash (PtH), tabela rainbow e ataques de retransmissão. O principal alvo são usuários privilegiados ou administradores.

Embora os ataques NTLM frequentemente visem empresas e governos, usuários domésticos também estão vulneráveis. Apenas interagir com um arquivo malicioso pode vazar sua senha do sistema.

A Microsoft lançou um patch de segurança para a CVE-2025-24054. Portanto, é sempre bom manter seu sistema Windows atualizado para prevenir esses ataques. Além disso, há algumas outras coisas que você pode fazer.

1. Desabilitar a Autenticação NTLM através do PowerShell

Abra o PowerShell em modo administrador e digite o seguinte. Você encontrará outra pergunta se deseja modificar a Configuração do Cliente SMB alvo. Para isso, clique em A.

Set-SMBClientConfiguration -BlockNTLM $true

Modificar a configuração do cliente SMB alvo no PowerShell para proteger contra ataques NTLM.

Bloquear NTLM sobre SMB não afeta seus dispositivos Windows mais recentes. No entanto, caso enfrente problemas com impressoras mais antigas, servidores NAS ou outros dispositivos legados, você pode sempre voltar a permitir NTLM sobre SMB.

Set-SMBClientConfiguration -BlockNTLM $false

O Server Message Block (SMB) é usado para compartilhamento de arquivos e conexões de rede. É uma das conexões mais comuns utilizadas por PtH, ataques de retransmissão e outros ataques man-in-the-middle. Ao bloquear NTLM sobre SMB, você está removendo um importante ponto de entrada para os atacantes.

2. Desabilitar o Protocolo NTLM Mais Antigo no Editor do Registro

Muitas sessões do Windows são atualmente hospedadas em “Kerberos”, que é um protocolo muito seguro, pois usa autenticação criptografada baseada em tickets. No entanto, não há necessidade de desabilitar completamente o NTLM, que tem muitos usos. Em vez disso, vamos alternar para o protocolo NTLMv2 mais seguro em vez do NTLMv1.

Isso pode ser feito a partir do Editor do Registro. Primeiro, faça um backup do seu registro. Em seguida, abra o Editor do Registro em modo administrador e vá para:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Chave do registro Lsa (Autoridade de Segurança Local) e DWORD

Sob a chave de registro para “Autoridade de Segurança Local” (Lsa), vá até o valor do nível de autenticação LAN manager de segurança de rede, “LmCompatibilityLevel.” Se não estiver presente, crie um DWORD (32 bits) sob Lsa, conforme mostrado acima.

Clique duas vezes em “LmCompatibilityLevel” para abri-lo. Você encontrará “0” como o valor padrão. Altere para “3”, “4” ou “5”, que configurará seu dispositivo Windows para enviar apenas respostas NTLMv2 e bloquear todas as respostas NTLMv1 legadas.

Definindo LmCompatibilityLevel para o valor 3, bloqueando assim todos os NTLMv1.

Após realizar a alteração acima, vá para o caminho abaixo:

COMPUTER\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters

Aqui, você encontrará um valor DWORD chamado “RequireSecuritySignature” ou “EnableSecuritySignature”. Seu valor padrão deve ser “1”. Se não for, mude para “1”. Uma vez que você fizer isso, todas as futuras conexões SMB exigirão assinatura de segurança SMB. Isso evita que as credenciais do seu dispositivo sejam roubadas.

3. Mantenha a Proteção em Nuvem Habilitada na Segurança do Windows

As alterações de registro acima são inofensivas. No entanto, se você não quiser realizá-las, pode proteger seu dispositivo através de um novo recurso de Segurança do Windows que previne todas as ameaças, como ataques de phishing que emergem online. Ele pode ser acessado através de Proteção contra vírus e ameaças -> Gerenciar configurações -> Proteção entregue pela nuvem.

Habilitando a Proteção Entregue pela Nuvem na Segurança do Windows.

Relacionado: ter acesso a um pacote de proteção de endpoint, como o Microsoft Defender, proporciona proteção adicional contra ameaças de zero horas.

4. Outras Medidas de Segurança

A Microsoft recomendou os seguintes mecanismos de segurança adicionais para evitar se tornar vítima do roubo de credenciais NTLM:

  • Habilitar autenticação de múltiplos fatores: você pode aumentar a segurança de login baseada em senha e PIN através de mecanismos de autenticação de múltiplos fatores. Vá para Configurações -> Contas -> Opções de entrada. Aqui, você encontrará muitas opções, como Windows Hello e criar uma chave de segurança física usando dispositivos USB.
  • Evitar clicar em links suspeitos: malware NTLM geralmente se espalha por meio de links maliciosos. Embora possam ser bloqueados pela Segurança do Windows, por que correr o risco contra esses exploits remotos? Confira nosso guia detalhado sobre como detectar e evitar mensagens maliciosas.

Conteúdo

  1. Como as Ameaças NTLM do Windows Rouban suas Senhas
  2. 1. Desabilitar a Autenticação NTLM através do PowerShell
  3. 2. Desabilitar o Protocolo NTLM Mais Antigo no Editor do Registro
  4. 3. Mantenha a Proteção em Nuvem Habilitada na Segurança do Windows
  5. 4. Outras Medidas de Segurança
Painel do Ello

Ello: Explorando a Rede Social Privada

Bitdefender Não Instalando: 3 Soluções Fáceis que Você Pode Usar

Mais sobre as Soluções do Bitdefender

Google Descontinuando o Inbox e Dando a Ele Seis Meses de Vida

aspect-ratios-16x9

Entendendo as Proporções de Vídeo

Gerenciador de Arquivos com Etiquetas para Organizar seus Arquivos: Top 5

Corrigir wake on LAN não funcionando

Wake On LAN Não Funcionando no Windows [Resolvido]

easycap-mac-mspacman-console

Usando EasyCAP para Capturar VHS e Consoles no Mac

Google testa novo recurso do Chrome para elegibilidade de atualização para Windows 11