Windows 11 exigirá a assinatura SMB para evitar ataques de relé NTLM
5 de Junho de 2023

A Microsoft informou que a assinatura SMB (também conhecida como assinaturas de segurança) será obrigatória por padrão para todas as conexões a fim de se defender contra ataques de relay NTLM, a partir da versão do Windows lançada hoje (Enterprise edition) para os Insiders no Canal Canary.

Nesses ataques, os atores de ameaças forçam dispositivos de rede (incluindo controladores de domínio) a se autenticarem contra servidores maliciosos sob o controle dos atacantes, a fim de se passarem por eles e elevarem privilégios para obter o controle completo sobre o domínio do Windows.

"Ao contrário do comportamento legado, onde o Windows 10 e 11 exigiam assinatura SMB por padrão apenas ao se conectar a compartilhamentos chamados SYSVOL e NETLOGON e onde os controladores de domínio do Active Directory exigiam assinatura SMB quando qualquer cliente se conectava a eles", informou a Microsoft.

A assinatura SMB ajuda a bloquear solicitações de autenticação maliciosas, confirmando as identidades do remetente e do destinatário por meio de assinaturas e hashes incorporados ao final de cada mensagem.

Servidores SMB e compartilhamentos remotos nos quais a assinatura SMB está desativada acionarão erros de conexão com várias mensagens, incluindo "A assinatura criptográfica é inválida", "STATUS_INVALID_SIGNATURE", "0xc000a000" ou "-1073700864".

Esse mecanismo de segurança está disponível há algum tempo, a partir do Windows 98 e 2000, e foi atualizado no Windows 11 e no Windows Server 2022 para melhorar o desempenho e a proteção, acelerando significativamente a criptografia de dados.

Embora bloquear ataques de relay NTLM deva estar no topo da lista para qualquer equipe de segurança, os administradores do Windows podem ter problemas com essa abordagem, pois pode levar a velocidades de cópia SMB mais lentas.

"A assinatura SMB pode reduzir o desempenho das operações de cópia SMB. Você pode mitigar isso com mais núcleos de CPU físicos ou CPU virtuais, bem como com CPUs mais novas e mais rápidas", alertou a Microsoft.

Embora não seja necessário reiniciar o sistema após emitir esses comandos, as conexões SMB já abertas continuarão usando a assinatura até que sejam fechadas.

"Espera-se que essa mudança padrão para assinatura chegue ao Pro, Education e outras edições do Windows nos próximos meses, bem como no Windows Server.

Dependendo de como as coisas acontecerem nos Insiders, ela começará a aparecer nas grandes atualizações", disse o Gerente de Programa Principal da Microsoft, Ned Pyle.

O anúncio de hoje faz parte de um movimento mais amplo para melhorar a segurança do Windows e do Windows Server, como mostrado ao longo do ano passado.

Em abril de 2022, a Microsoft anunciou a fase final de desativação do SMB1 no Windows, desativando por padrão o protocolo de compartilhamento de arquivos de 30 anos para os Insiders do Windows 11 Home.

Cinco meses depois, a empresa anunciou melhor proteção contra ataques de força bruta com a introdução de um limitador de taxa de autenticação SMB para lidar com tentativas de autenticação NTLM de entrada malsucedidas.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...