A Microsoft adicionou uma nova funcionalidade de segurança ao Windows 11 que permite aos administradores bloquear o NTLM via SMB para prevenir ataques pass-the-hash, NTLM relay, ou de quebra de senha.
Isso modificará a abordagem legada onde as negociações de autenticação Kerberos e NTLM (ou seja, LM, NTLM e NTLMv2) com servidores de destino seriam alimentadas pelo Windows SPNEGO.
Ao se conectar a um compartilhamento SMB remoto, o Windows tentará negociar a autenticação com o computador remoto, realizando uma resposta de desafio NTLM.
No entanto, essa resposta de desafio NTLM conterá a senha hash do usuário logado tentando abrir o compartilhamento SMB, que pode ser capturada pelo servidor que hospeda o compartilhamento.
Esses hashes podem ser quebrados para recuperar a senha em texto simples ou usados em ataques NTLM Relay e pass-the-hash para logar como o usuário.
Essa nova funcionalidade permite ao administrador bloquear o NTLM de saída via SMB, prevenindo que a senha hash do usuário seja enviada para um servidor remoto, prevenindo efetivamente esses tipos de ataques.
"Com essa nova opção, um administrador pode intencionalmente bloquear o Windows de oferecer NTLM via SMB", explicaram Amanda Langowski e Brandon LeBlanc, da Microsoft.
"Um atacante que engana um usuário ou aplicação para enviar respostas de desafio NTLM para um servidor malicioso não receberá mais nenhum dado NTLM e não poderá forçar, quebrar ou passar uma senha, pois eles nunca serão enviados pela rede."
Essa camada de segurança adicional elimina a necessidade de desativar completamente o uso de NTLM no sistema operacional.
Começando com o Windows 11 Insider Preview Build 25951, os administradores podem configurar o Windows para bloquear o envio de dados NTLM via SMB em conexões remotas de saída usando Group Policy e PowerShell.
Eles também podem desativar completamente o uso de NTLM em conexões SMB usando NET USE e PowerShell.
"Um futuro lançamento do Windows Insider permitirá aos administradores controlar o bloqueio do SMB NTLM para servidores específicos com uma lista de permissão", acrescentou Ned Pyle, gerente de programa principal do grupo de engenharia do Windows Server, em um post separado do blog.
"Um cliente poderá especificar servidores SMB que suportem apenas NTLM - seja como membros não do domínio ou produtos de terceiros - e permitir a conexão."
Outra nova opção disponível a partir deste build é o gerenciamento de dialeto SMB, que permite aos administradores bloquear dispositivos Windows mais antigos e inseguros de se conectar ao desativar o uso de protocolos SMB mais antigos em sua organização.
Com o lançamento do Windows 11 Insider Preview Build 25381 para o Canary Channel, Redmond também começou a exigir assinaturas SMB (também conhecidas como assinaturas de segurança) por padrão para todas as conexões para se defender contra ataques de retransmissão NTLM.
Nesses ataques, atores maliciosos forçam dispositivos de rede, incluindo controladores de domínio, a se autenticarem contra servidores sob seu controle para assumir o controle completo sobre o domínio do Windows, personificando-os.
A assinatura SMB é um mecanismo de segurança SMB que desempenha um papel crucial na frustração de solicitações de autenticação maliciosas, verificando as identidades do remetente e do receptor por meio do uso de assinaturas e hashes incorporados em cada mensagem.
Ele foi disponibilizado a partir do Windows 98 e 2000, e foi atualizado no Windows 11 e no Windows Server 2022 para melhorar a proteção e o desempenho, acelerando significativamente as velocidades de criptografia de dados.
Essas atualizações fazem parte de uma iniciativa mais ampla para aprimorar a segurança do Windows e do Windows Server, conforme destacado pelos anúncios anteriores feitos ao longo de 2022.
Em abril de 2022, a Microsoft deu um passo significativo quando anunciou a fase final de desativação do protocolo de compartilhamento de arquivos SMB1 com três décadas de idade no Windows para o Windows 11 Home Insiders.
Continuando nessa trajetória, a empresa revelou medidas de defesa aprimoradas contra ataques de força bruta cinco meses depois, introduzindo um limitador de taxa de autenticação SMB projetado para mitigar o impacto de tentativas de autenticação NTLM de entrada com insucesso.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...