Microsoft ha confermato lunedì i suoi piani per eliminare NT LAN Manager (NTLM) in Windows 11 nella seconda metà dell’anno, annunciando una serie di nuove misure di sicurezza per rafforzare il sistema operativo desktop ampiamente utilizzato.
Windows 11 e i nuovi protocolli in arrivo
“La rimozione di NTLM è stata una richiesta importante dalla nostra comunità di sicurezza poiché rafforzerà l’autenticazione degli utenti, e la rimozione [del protocollo NTLM su Windows 11] è prevista per la seconda metà del 2024“, ha dichiarato il gigante tecnologico.
Il produttore di Windows aveva annunciato per la prima volta la sua decisione di abbandonare NTLM a favore di Kerberos per l’autenticazione nell’ottobre 2023.
Nonostante la mancanza di supporto di NTLM per metodi crittografici come AES o SHA-256, il protocollo è stato anche reso suscettibile agli attacchi di relay, una tecnica ampiamente sfruttata dal gruppo hacker noto come APT28,legato alla Russia, tramite vulnerabilità zero-day in Microsoft Outlook.
Altri cambiamenti su Windows 11 in arrivo
Altri cambiamenti in arrivo su Windows 11 includono l’abilitazione della protezione dell’Autorità di Sicurezza Locale (LSA) per impostazione predefinita per i nuovi dispositivi consumer e l’uso della sicurezza basata sulla virtualizzazione (VBS) per proteggere la tecnologia Windows Hello.
Smart App Control, che protegge gli utenti dall’esecuzione di applicazioni non attendibili o non firmate, è stato anche aggiornato con un modello di intelligenza artificiale (AI) per determinare la sicurezza delle app e bloccare quelle sconosciute o contenenti malware.
A completare Smart App Control c’è una nuova soluzione end-to-end chiamata Trusted Signing che consente agli sviluppatori di firmare le proprie app e semplifica l’intero processo di firma dei certificati.
Altri miglioramenti di sicurezza degni di nota sono i seguenti –
- Isolamento delle app Win32, progettato per contenere i danni in caso di compromissione di un’applicazione creando un confine di sicurezza tra l’applicazione e il sistema operativo
- Limitare l’abuso dei privilegi di amministratore richiedendo l’approvazione esplicita dell’utente
- Ambienti VBS per sviluppatori di terze parti per creare ambienti di esecuzione sicuri
Microsoft ha inoltre dichiarato che su Windows 11 renderà Windows Protected Print Mode (WPP), svelato nel dicembre 2023 come un modo per contrastare i rischi posti dal processo Spooler privilegiato e proteggere lo stack di stampa, la modalità di stampa predefinita in futuro.
In tal modo, l’idea è di eseguire il Print Spooler come un servizio limitato e ridurre drasticamente il suo fascino come via per i criminali informatici, in modo da ottenere permessi elevati su un sistema Windows 11 compromesso.
Redmond ha inoltre dichiarato che non si fiderà più dei certificati di autenticazione del server TLS (transport layer security) con chiavi RSA inferiori a 2048 bit a causa dei “progressi nella potenza di calcolo e nella crittoanalisi.”
A completare l’elenco delle funzionalità di sicurezza c’è Zero Trust Domain Name System (ZTDNS), che mira ad aiutare i clienti commerciali a bloccare Windows 11 all’interno delle loro reti limitando nativamente i dispositivi Windows a connettersi solo a destinazioni di rete approvate per nome di dominio.
Questi miglioramenti seguono anche le critiche alle pratiche di sicurezza di Microsoft che hanno permesso ad attori statali di Cina e Russia di violare il suo ambiente Exchange Online, con un recente rapporto del Cyber Safety Review Board (CSRB) degli Stati Uniti che ha notato che la cultura della sicurezza dell’azienda richiede una revisione.
In risposta, Microsoft ha delineato cambiamenti radicali per dare priorità alla sicurezza sopra ogni altra cosa come parte della sua Secure Future Initiative (SFI) e rendere direttamente responsabile la leadership senior per il raggiungimento degli obiettivi di cybersicurezza.
Google, da parte sua, ha affermato che il rapporto CSRB “sottolinea un bisogno urgente e atteso da tempo di adottare un nuovo approccio alla sicurezza“, esortando i governi a procurarsi sistemi e prodotti sicuri per progettazione, a far rispettare le ricertificazioni di sicurezza per i prodotti che subiscono incidenti di sicurezza importanti e a essere consapevoli dei rischi posti dalla monocultura.
“L’uso dello stesso fornitore per sistemi operativi, email, software per ufficio e strumenti di sicurezza […] aumenta il rischio che una singola violazione comprometta un intero ecosistema“, ha dichiarato l’azienda.
“I governi dovrebbero adottare una strategia multi-vendor e sviluppare e promuovere standard aperti per garantire l’interoperabilità, rendendo più facile per le organizzazioni sostituire i prodotti insicuri con quelli più resilienti agli attacchi.”
