Hackers exploram vulnerabilidades de autenticação NTLM para atacar sistemas Windows.

Apesar dos anos que se passaram, o protocolo NTLM continua sendo uma ameaça persistente. Mesmo em 2025, suas antigas vulnerabilidades continuam deixando a porta escancarada para hackers. A autenticação do Windows está na mira, e isso está abalando seriamente a segurança cibernética corporativa.

Os administradores sabem que o NTLM, essa velha engrenagem, sempre foi um ponto fraco. Mesmo que a Microsoft tenha anunciado o fim desse protocolo, ele permanece enraizado em milhões de sistemas. Um verdadeiro problema quando se vê como os hackers o exploram hoje.

Então, como essas vulnerabilidades do NTLM se tornam backdoors para infiltrar suas redes?

Ataques NTLM que não envelheceram um dia

O protocolo New Technology LAN Manager, ou NTLM, foi projetado para autenticar clientes e servidores por meio de um processo de três etapas. Simples, mas tão frágil que, pouco mais de 20 anos depois, ainda está repleto de falhas. Os hackers estão se divertindo com várias técnicas, todas baseadas na fragilidade desse handshake. Uma das mais insidiosas é o roubo de hash NTLM. Em vez de tentar recuperar a senha em texto simples, eles conseguem extrair esses hashes criptografados. Um arquivo malicioso, executado descuidadamente, e pronto, o sistema envia as informações necessárias para um servidor controlado pelos hackers.

Esse método, chamado de vazamento de hash, nem sequer exige interação complexa. Um simples clique ou mesmo mover um arquivo é suficiente para desencadear o vazamento. Desnecessário dizer que isso torna a proteção muito mais complexa!

Campanhas de hackers que atingem com força e em grande escala

Diversas operações maliciosas recentes mostram que essas vulnerabilidades estão sendo exploradas em larga escala. Veja o caso da CVE-2024-43451, que tem como alvo o Windows por meio de arquivos .url infectados. Grupos como BlindEagle e Head Mare a utilizaram para distribuir Trojans em países como Colômbia, Rússia e Bielorrússia.

E não é só isso. Bugs recentes, CVE-2025-24054 e CVE-2025-24071, exploram arquivos .zip e seus arquivos .library-ms. O Windows envia automaticamente suas credenciais NTLM para servidores controlados, abrindo caminho para malwares como o AveMaria — um verdadeiro pesadelo para redes sensíveis.

Além disso, temos o CVE-2025-33073. Este é um ataque particularmente perigoso: o hacker manipula o DNS para apresentar solicitações externas como internas. O resultado? Rápida escalada para o nível SYSTEM, o objetivo final de qualquer invasor. Uma manobra de DNS que burla todas as proteções usuais.

Por que o NTLM ainda persiste apesar de tudo isso?

A Microsoft planeja descontinuar o NTLM a partir do Windows 11 versão 24H2 e do Windows Server 2025. Mas mudar uma infraestrutura não é algo que acontece da noite para o dia, especialmente em um ambiente corporativo. Aplicativos legados e serviços de rede desatualizados ainda estão por toda parte.

A transição é uma dor de cabeça que muitos preferem adiar. Isso, por sua vez, cria uma brecha para os cibercriminosos. Cada máquina desatualizada se torna um alvo potencial.

O fato é simples: enquanto o NTLM persistir nas redes, as falhas de segurança continuarão sendo exploradas. E as novas gerações de administradores precisam entender que instalar um patch não resolverá o problema. É necessária uma verdadeira mudança de paradigma.

Ataques “homem no meio” (Man-in-the-middle) no NTLM: um clássico que persiste.

Por anos, os relays NTLM permaneceram a técnica mais eficaz para interceptar credenciais. Um hacker se posiciona entre a máquina cliente e o servidor, capturando a sessão de autenticação em tempo real. Sem ser detectado, ele obtém acesso privilegiado.