# CVE-2024-43451 - Windows NTLM Hash Disclosure (UAC-0194) > [!high] CVSS 6.5 - CISA KEV - Zero-Day Explorado na Ucrânia > Vulnerabilidade de divulgação de hash NTLMv2 no Windows explorada como zero-day por atores ligados à Rússia (UAC-0194) em ataques contra a Ucrânia. Requer apenas clique direito, movimentação ou exclusão de arquivo malicioso para expor credenciais. ## Visão Geral **CVE-2024-43451** é uma vulnerabilidade de **divulgação de hash NTLMv2** (*NTLM Hash Disclosure Spoofing Vulnerability*, CWE-73) no Windows que permite a um atacante remoto capturar o hash NTLMv2 de um usuário com interação mínima — bastando que a vítima clique com o botão direito, mova ou exclua um arquivo malicioso especialmente construído, sem necessidade de abri-lo ou executá-lo. O hash capturado pode ser reutilizado em ataques de *pass-the-hash* ou *NTLM relay*, permitindo que o atacante se autentique como o usuário comprometido em sistemas da rede. A falha foi descoberta pelo pesquisador Israel Yeshurun da ClearSky e explorada como zero-day antes da divulgação pública em 12 de novembro de 2024. O grupo russo identificado como **UAC-0194** utilizou esta vulnerabilidade em ataques direcionados à Ucrânia, distribuindo o malware [[sparkrat|SparkRAT]] via phishing com arquivos `.lnk` maliciosos. O Google TAG também identificou exploração, e o EPSS score de 90% (percentil 100) reflete probabilidade extremamente alta de exploração continuada. Esta é a terceira falha de divulgação de hash NTLM corrigida pela Microsoft em 2024, sinalizando interesse persistente dos atores de ameaça neste protocolo legado. Para organizações, o risco não se limita ao CVSS 6.5: a captura de hashes NTLM pode abrir caminho para comprometimento total de domínios Active Directory via técnicas de relay e pass-the-hash. Ambientes Windows com NTLM habilitado e sem proteções adicionais como EPA (Extended Protection for Authentication) são particularmente vulneráveis a esta cadeia de exploração. ## Detalhes Técnicos - **Tipo:** NTLM Hash Disclosure / Spoofing - **Vetor:** Network - **Complexidade:** Low - **Pré-autenticação:** Não (requer mínima interação do usuário com arquivo malicioso) - **Versões afetadas:** Windows 10 (todas as versões suportadas), Windows 11 22H2/23H2/24H2, Windows Server 2008 R2 SP1 a Windows Server 2025 - **Versão corrigida:** Patches do Patch Tuesday de novembro de 2024 (KB correspondentes por versão) - **CWE:** CWE-73 (External Control of File Name or Path) ### Funcionamento Técnico A vulnerabilidade permite que um arquivo especialmente construído (como um atalho `.lnk` ou arquivo URL) force o sistema operacional a tentar autenticar automaticamente contra um servidor controlado pelo atacante. Esse processo de autenticação automática expõe o hash NTLMv2 do usuário em texto claro para o servidor do atacante. O único requisito do lado da vítima é uma interação mínima com o arquivo malicioso: clique simples, clique com o botão direito, movimentação ou exclusão - sem necessidade de execução. O atacante pode então utilizar o hash em ataques de *pass-the-hash*, *NTLM relay* ou tentar quebrá-lo offline para obter a senha em texto claro. ## Exploração A CVE-2024-43451 foi explorada como zero-day antes da divulgação pública em 12 de novembro de 2024. Pesquisadores da Rewterz documentaram uso por um ator de ameaça com vínculos suspeitos à Rússia em ataques contra a Ucrânia, distribuindo o malware SparkRAT via e-mails de phishing contendo arquivos maliciosos. O Google Threat Analysis Group (TAG) também identificou a exploração, sugerindo envolvimento de um ator alinhado a estado-nação. Outros malwares documentados explorando esta falha incluem Remcos RAT e RedLine Stealer. O EPSS score de ~90% reflete alta probabilidade de exploração continuada. Esta é a terceira vulnerabilidade de divulgação de hash NTLM corrigida pela Microsoft em 2024 (após CVE-2024-21410 em fevereiro e CVE-2024-38021 em julho), sinalizando interesse persistente de atores em explorar o protocolo NTLM. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | Microsoft | Windows 10 (todas versões suportadas) | Antes Patch Tuesday Nov/2024 | KB com fix de novembro 2024 | | Microsoft | Windows 11 22H2 / 23H2 / 24H2 | Antes Patch Tuesday Nov/2024 | KB com fix de novembro 2024 | | Microsoft | Windows Server 2008 R2 SP1 | Antes Patch Tuesday Nov/2024 | KB com fix de novembro 2024 | | Microsoft | Windows Server 2012 / 2012 R2 | Antes Patch Tuesday Nov/2024 | KB com fix de novembro 2024 | | Microsoft | Windows Server 2016 / 2019 / 2022 / 2025 | Antes Patch Tuesday Nov/2024 | KB com fix de novembro 2024 | ## Mitigação 1. Aplicar imediatamente os patches do Patch Tuesday de novembro de 2024 para todas as versões Windows afetadas 2. Avaliar a desabilitação ou restrição do NTLM na organização - a Microsoft fornece políticas de grupo para isso 3. Habilitar Extended Protection for Authentication (EPA) e LDAP Signing para mitigar ataques NTLM relay 4. Monitorar tentativas de autenticação NTLM de IPs externos não esperados 5. Considerar implementação de autenticação Kerberos em vez de NTLM onde possível > [!latam] Relevância para Brasil e LATAM > Ambientes Windows com Active Directory são universais em organizações brasileiras e latino-americanas, especialmente no setor financeiro, governo e educação. O protocolo NTLM permanece habilitado por padrão em redes legadas com sistemas Windows Server 2008/2012, ainda comuns em autarquias federais, estaduais e empresas de médio porte no Brasil. A captura de hashes NTLM via arquivos `.lnk` maliciosos é técnica frequentemente utilizada em campanhas de ransomware direcionadas à LATAM. Grupos como **Akira**, **LockBit** e **BlackCat** usam técnicas de NTLM relay para escalada de privilégios após acesso inicial, comprometendo domínios inteiros. Organizações devem priorizar auditoria do uso de NTLM via **Event ID 4624** (Logon Type 3) e implementar políticas de bloqueio de NTLM em segmentos críticos. ## Referências - [Microsoft MSRC - CVE-2024-43451](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43451) - [NVD - CVE-2024-43451](https://nvd.nist.gov/vuln/detail/CVE-2024-43451) - [CISA KEV - Adição em 12/11/2024](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [The Hacker News - Patch Tuesday Novembro 2024](https://thehackernews.com/2024/11/microsoft-fixes-90-new-vulnerabilities.html) - [Rewterz - Atores russos explorando NTLM](https://www.rewterz.com/threat-advisory/russian-threat-actors-use-new-ntlm-flaw-to-send-phishing-emails-spreading-spark-rat-active-iocs) ## Notas Relacionadas CVE-2024-43451 é parte de uma série de vulnerabilidades NTLM exploradas em 2024, incluindo CVE-2024-21410 (fevereiro 2024, CVSS 9.8, NTLM relay) e CVE-2024-38021 (julho 2024). A Ucrânia tem sido alvo recorrente de ataques envolvendo exploração de credenciais Windows, como documentado nas campanhas do [[g0034-sandworm|Sandworm]] e [[g0007-apt28|APT28]]. O uso de SparkRAT indica possível ligação a atores de ameaça de língua chinesa ou russa. Para contexto de ataques a infraestrutura de Windows, ver [[cve-2024-21338|CVE-2024-21338]] (kernel elevation of privilege) e [[cve-2024-38193|CVE-2024-38193]]. A técnica de abuso de NTLM é classificada no MITRE ATT&CK como [[t1557-adversary-in-the-middle|T1557 - Adversary-in-the-Middle]] e [[t1550-use-alternate-authentication-material|T1550 - Use Alternate Authentication Material]].