MFA no Windows: 7 brechas de autenticação exploradas por atacantes

Implantar autenticação multifator não é garantia de proteção contra credenciais roubadas em ambientes Windows. Sete caminhos de autenticação nativos do sistema, entre eles RDP, NTLM, Kerberos e SMB, operam fora do controle dos provedores de identidade na nuvem e nunca acionam uma solicitação de MFA, deixando redes corporativas expostas mesmo quando as políticas de segurança estão ativas.

O MFA funciona bem quando aplicado por um provedor de identidade, o serviço responsável por verificar quem é o usuário antes de liberar o acesso. Soluções como Microsoft Entra ID, Okta e Google Workspace protegem apps na nuvem e logins federados.

O problema é que boa parte dos logons do Windows passa pelo Active Directory, sistema que gerencia identidades dentro da rede corporativa e jamais chega a esses controles. Para atacantes com credenciais válidas em mãos, essa lacuna é suficiente para comprometer redes inteiras.

Quando um usuário entra em uma estação de trabalho ou servidor Windows, a autenticação é feita pelo Active Directory usando Kerberos ou NTLM. O Kerberos é o protocolo mais moderno e emite tickets digitais temporários para validar acessos sem precisar trafegar a senha pela rede.

O NTLM é mais antigo e autentica a partir de um hash criptográfico da senha. Em ambientes híbridos, mesmo que o Entra ID exija MFA para apps na nuvem, o logon em máquinas associadas ao domínio é validado pelo controlador de domínio local, sem nenhum fator adicional.

O mesmo vale para o RDP, o protocolo nativo do Windows para acesso remoto a desktops e servidores. Amplamente usado por equipes de TI para suporte e administração, ele também é um dos métodos mais visados por atacantes. 

Uma sessão RDP direta não passa pelos controles de MFA baseados em nuvem e, mesmo quando não está exposto à internet, atacantes o alcançam por movimentação lateral após o comprometimento inicial.

O NTLM ainda está presente em muitas redes corporativas por compatibilidade com sistemas legados. O problema é que ele pode ser explorado por meio do pass-the-hash, técnica em que o atacante captura o hash criptográfico da senha armazenado no sistema e o usa diretamente para se autenticar, sem precisar da senha em texto claro. 

O MFA não resolve isso se o sistema aceita o hash como prova de identidade. O Kerberos, apesar de mais seguro, também tem seu ponto fraco. Os tickets de autenticação ficam armazenados na memória do sistema durante a sessão ativa, e atacantes exploram exatamente isso. 

Em vez de roubar senhas, eles roubam os tickets da memória ou geram tickets falsificados após comprometer contas privilegiadas. Técnicas como Golden Ticket e Silver Ticket permitem acesso prolongado e movimentação lateral mesmo após redefinições de senha, se o comprometimento original não for completamente resolvido.