banner

Blog

Nov 15, 2023

Windows 11 richiede la firma SMB per impedire attacchi di inoltro NTLM

Microsoft afferma che la firma SMB (ovvero le firme di sicurezza) sarà richiesta per impostazione predefinita per tutte le connessioni per difendersi dagli attacchi di inoltro NTLM, a partire dall'odierna build di Windows (edizione Enterprise) distribuita agli Insider nel Canale delle Canarie.

In tali attacchi, gli autori delle minacce costringono i dispositivi di rete (inclusi i controller di dominio) ad autenticarsi contro server dannosi sotto il controllo degli aggressori per impersonificarli ed elevare i privilegi per ottenere il controllo completo sul dominio Windows.

"Ciò modifica il comportamento legacy, in cui Windows 10 e 11 richiedevano la firma SMB per impostazione predefinita solo quando si connettevano a condivisioni denominate SYSVOL e NETLOGON e dove i controller di dominio Active Directory richiedevano la firma SMB quando qualsiasi client si connetteva a loro", ha affermato Microsoft.

La firma SMB aiuta a bloccare le richieste di autenticazione dannose confermando le identità del mittente e del destinatario tramite firme e hash incorporati alla fine di ciascun messaggio.

I server SMB e le condivisioni remote in cui la firma SMB è disabilitata attiveranno errori di connessione con vari messaggi, tra cui "La firma crittografica non è valida", "STATUS_INVALID_SIGNATURE", "0xc000a000" o "-1073700864".

Questo meccanismo di sicurezza è disponibile ormai da tempo, a partire da Windows 98 e 2000, ed è stato aggiornato in Windows 11 e Windows Server 2022 per migliorare le prestazioni e la protezione accelerando significativamente la crittografia dei dati.

Anche se il blocco degli attacchi di inoltro NTLM dovrebbe essere in cima alla lista per qualsiasi team di sicurezza, gli amministratori di Windows potrebbero avere problemi con questo approccio poiché potrebbe portare a una riduzione della velocità di copia SMB.

"La firma SMB può ridurre le prestazioni delle operazioni di copia SMB. È possibile mitigare questo problema con più core fisici o CPU virtuali, nonché CPU più nuove e più veloci", ha avvertito Microsoft.

Tuttavia, gli amministratori hanno la possibilità di disabilitare il requisito di firma SMB nelle connessioni server e client eseguendo i seguenti comandi da un terminale Windows PowerShell con privilegi elevati:

Sebbene non sia richiesto il riavvio del sistema dopo aver emesso questi comandi, le connessioni SMB già aperte continueranno a utilizzare la firma finché non verranno chiuse.

"Aspettatevi che questa modifica predefinita per la firma arrivi su Pro, Education e altre edizioni di Windows nei prossimi mesi, nonché su Windows Server. A seconda di come vanno le cose in Insider, inizierà quindi ad apparire nelle versioni principali," ha affermato Ned Pyle, Principal Program Manager di Microsoft.

L'annuncio di oggi fa parte di un progetto più ampio volto a migliorare la sicurezza di Windows e Windows Server, come dimostrato lo scorso anno.

Nell'aprile 2022, Microsoft ha annunciato la fase finale della disabilitazione di SMB1 in Windows disabilitando per impostazione predefinita il protocollo di condivisione file vecchio di 30 anni per Windows 11 Home Insiders.

Cinque mesi dopo, la società ha annunciato una migliore protezione contro gli attacchi di forza bruta con l’introduzione di un limitatore della velocità di autenticazione per le PMI per contrastare i tentativi di autenticazione NTLM in entrata falliti.

Windows 11 ti consentirà di visualizzare le foto del telefono in Esplora file

Windows 11 ottiene finalmente la modalità "non combinare mai i pulsanti della barra delle applicazioni".

Microsoft testa il riquadro dei dettagli di Explorer migliorato, Windows Spotlight

Microsoft abilita la protezione LSA per impostazione predefinita nella build di Windows Canary

Cisco non risolverà la vulnerabilità RCE zero-day nei router VPN fuori uso

CONDIVIDERE