){kind=link}
Implantar autenticação multifator não é garantia de proteção contra credenciais roubadas em ambientes Windows. Sete caminhos de autenticação nativos do sistema, entre eles RDP, NTLM, Kerberos e SMB, operam fora do controle dos provedores de identidade na nuvem e nunca acionam uma solicitação de MFA, deixando redes corporativas expostas mesmo quando as políticas de segurança estão ativas.
O MFA funciona bem quando aplicado por um provedor de identidade, o serviço responsável por verificar quem é o usuário antes de liberar o acesso. Soluções como Microsoft Entra ID, Okta e Google Workspace protegem apps na nuvem e logins federados.
smart_display
Nossos vídeos em destaque
O problema é que boa parte dos logons do Windows passa pelo Active Directory, sistema que gerencia identidades dentro da rede corporativa e jamais chega a esses controles. Para atacantes com credenciais válidas em mãos, essa lacuna é suficiente para comprometer redes inteiras.
Logon direto e RDP ficam fora do radar
Quando um usuário entra em uma estação de trabalho ou servidor Windows, a autenticação é feita pelo Active Directory usando Kerberos ou NTLM. O Kerberos é o protocolo mais moderno e emite tickets digitais temporários para validar acessos sem precisar trafegar a senha pela rede.
O NTLM é mais antigo e autentica a partir de um hash criptográfico da senha. Em ambientes híbridos, mesmo que o Entra ID exija MFA para apps na nuvem, o logon em máquinas associadas ao domínio é validado pelo controlador de domínio local, sem nenhum fator adicional.
O mesmo vale para o RDP, o protocolo nativo do Windows para acesso remoto a desktops e servidores. Amplamente usado por equipes de TI para suporte e administração, ele também é um dos métodos mais visados por atacantes.
Uma sessão RDP direta não passa pelos controles de MFA baseados em nuvem e, mesmo quando não está exposto à internet, atacantes o alcançam por movimentação lateral após o comprometimento inicial.
NTLM e Kerberos também viram vetores de ataque
O NTLM ainda está presente em muitas redes corporativas por compatibilidade com sistemas legados. O problema é que ele pode ser explorado por meio do pass-the-hash, técnica em que o atacante captura o hash criptográfico da senha armazenado no sistema e o usa diretamente para se autenticar, sem precisar da senha em texto claro.
O MFA não resolve isso se o sistema aceita o hash como prova de identidade. O Kerberos, apesar de mais seguro, também tem seu ponto fraco. Os tickets de autenticação ficam armazenados na memória do sistema durante a sessão ativa, e atacantes exploram exatamente isso.
Em vez de roubar senhas, eles roubam os tickets da memória ou geram tickets falsificados após comprometer contas privilegiadas. Técnicas como Golden Ticket e Silver Ticket permitem acesso prolongado e movimentação lateral mesmo após redefinições de senha, se o comprometimento original não for completamente resolvido.
Contas locais, SMB e contas de serviço
Contas de administrador local são criadas com controle total sobre um único endpoint e usadas para suporte e recuperação de sistemas. Se as senhas são reutilizadas entre máquinas, um único comprometimento pode se transformar em acesso generalizado à rede.
Essas contas se autenticam diretamente no endpoint e contornam completamente as políticas de acesso condicional do Entra ID.
O SMB é o protocolo padrão do Windows para compartilhamento de arquivos em rede e costuma ser tratado como tráfego interno confiável, o que significa que raramente tem MFA aplicado. Com credenciais válidas, um atacante consegue acessar compartilhamentos administrativos e se mover entre sistemas sem levantar suspeitas.
Contas de serviço são criadas não para pessoas, mas para sistemas, sendo usadas para rodar tarefas agendadas, aplicações e integrações automatizadas. Elas têm credenciais estáveis, permissões amplas e senhas que normalmente não expiram.
Por serem usadas em autenticações automatizadas, são praticamente impossíveis de proteger com MFA e estão entre os primeiros alvos em uma intrusão, especialmente quando possuem permissões em nível de domínio.
Como reduzir a exposição
Tratar a autenticação do Windows como uma superfície de segurança própria é o ponto de partida. Na prática, isso passa por políticas de senha mais fortes no Active Directory, com passphrases de 15 caracteres ou mais, bloqueio de padrões fracos e prevenção de reutilização.
Bloquear continuamente senhas comprometidas também é essencial, já que bilhões de credenciais estão disponíveis em bases de dados de vazamentos para uso em ataques de credential stuffing, técnica que testa em massa combinações extraídas de outros vazamentos.
No lado dos protocolos, o objetivo deve ser mapear onde o NTLM ainda existe, eliminá-lo onde possível e apertar os controles onde não for viável removê-lo. Contas de serviço devem ser tratadas como identidades de alto risco, inventariadas, com privilégios reduzidos, credenciais rotacionadas e contas inativas removidas.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.