Puede seguir los siguientes pasos para mitigar la amenaza en un entorno vulnerable. Sin embargo, estos pasos pueden conllevar consideraciones adicionales que aumentan la necesidad de pruebas inclusivas y que los administradores estén al tanto del comportamiento esperado en su entorno después de la implementación. Siempre recomendamos aplicar parches de proveedores y actualizaciones de seguridad para abordar las amenazas.
Microsoft ha proporcionado las siguientes estrategias de mitigación, que pueden reducir el riesgo de ataques basados en
WebDAV-hasta que se puedan aplicar las versiones actualizadas.
Los clientes pueden deshabilitar el servicio
WebClient que se ejecuta en las máquinas de sus organizaciones, similar a la recomendación a continuación de bloquear el tráfico TCP/445.
NOTA: Esta recomendación bloquea todas para los
WebDAV conexiones, incluida la intranet, lo que podría afectar a sus usuarios o aplicaciones.
Los siguientes factores atenuantes podrían ser útiles en su situación:
- Agregue usuarios al grupo de seguridad de usuarios protegidos, lo que impide el uso de NTLM como mecanismo de autenticación. Acciones esta mitigación hace que la solución de problemas sea más fácil que otros métodos para deshabilitar NTLM. Considere usarlo para cuentas de alto valor, como administradores de dominio, cuando sea posible.
NOTA: Esta acción puede afectar a las aplicaciones que requieren NTLM, pero la configuración se revertirá una vez que se elimine al usuario del grupo de usuarios protegidos. Consulte Grupo de seguridad de usuarios protegidos para obtener más información.
- Bloquee el TCP 445/SMB saliente de su red mediante un firewall perimetral, un firewall local y mediante la configuración de su VPN. Esta acción evita la transmisión de mensajes de autenticación NTLM a recursos compartidos de archivos remotos.