Pesquisadores de cibersegurança identificaram uma técnica que permite a hackers enganar máquinas Windows e roubar credenciais, mesmo sem explorar vulnerabilidades. Chamada de autenticação forçada, essa tática manipula protocolos legítimos do sistema operacional para obter acesso a redes corporativas.
Como a técnica funciona
O Windows é projetado para se autenticar automaticamente ao acessar recursos de rede, como impressoras ou diretórios compartilhados. Os atacantes se aproveitam desse comportamento, criando servidores falsos que se passam por serviços legítimos. Quando o computador tenta se conectar, ele envia credenciais criptografadas diretamente ao invasor.
Essa prática dispensa qualquer interação do usuário e pode comprometer toda a rede. Segundo os pesquisadores, o método é cada vez mais usado em substituição a ataques já conhecidos, como o PrintNightmare, agora mais bem monitorados.
Novas rotas para o mesmo ataque
A grande ameaça da autenticação forçada está em sua amplitude de exploração. Pesquisas mostram que há pelo menos 16 funções conhecidas em cinco protocolos que podem ser exploradas, e mais de 240 ainda não testadas. Isso significa que os hackers têm diversas opções para variar seus ataques e escapar da detecção.
Um incidente registrado em março de 2025, em uma organização de saúde, mostrou o potencial desse método. Os invasores exploraram o protocolo MS-EVEN, usado pelo Visualizador de Eventos do Windows, para forçar servidores a se autenticar. Assim, conseguiram capturar hashes de senha e realizar um ataque de NTLM relay, comprometendo controladores de domínio e sistemas críticos.
Por que é tão difícil de detectar
Ataques de autenticação forçada se destacam por usar funções legítimas do Windows. Por isso, ferramentas tradicionais de segurança têm dificuldade em distinguir atividades maliciosas de tráfego normal. Além disso, ao explorar interfaces raramente utilizadas, como a função ElfrOpenBELW, os criminosos conseguem burlar mecanismos de detecção baseados em assinaturas conhecidas.
Como se proteger
A defesa contra esse tipo de ataque exige uma abordagem proativa e comportamental, não apenas reativa. As principais recomendações incluem:
- Monitorar chamadas RPC anômalas, especialmente entre hosts incomuns ou com caminhos de rede suspeitos.
- Desativar serviços desnecessários, como o Print Spooler em controladores de domínio.
- Habilitar SMB signing e Extended Protection for Authentication.
- Criar filtros RPC para bloquear comunicações que não sejam essenciais.
Além disso, é importante manter logs detalhados e revisar comportamentos fora do padrão, o que pode indicar tentativas de exploração.
Segurança proativa é o futuro
Os ataques evoluem constantemente, e os invasores exploram recursos internos do próprio sistema operacional para contornar proteções. A autenticação forçada no Windows reforça a necessidade de monitoramento contínuo, análise comportamental e adoção de estratégias Zero Trust.
Empresas que dependem de redes Windows devem agir agora: revisar políticas, aplicar controles preventivos e investir em visibilidade total do tráfego RPC pode ser o que impede o próximo vazamento de credenciais.
