Microsoft lanza una nueva función de seguridad que debería ralentizar significativamente los ataques de contraseña contra dispositivos Windows.
Microsoft ha introducido un nuevo valor predeterminado para proteger las máquinas con Windows 11 contra los ataques de contraseña, lo que debería convertirlas en "un objetivo muy poco atractivo" para los piratas informáticos que intentan robar credenciales.
La versión preliminar más reciente de Windows 11 viene con el limitador de velocidad de autenticación del servidor SMB activado de forma predeterminada, lo que hace que los atacantes tarden mucho más en atacar el servidor con ataques de adivinación de contraseñas.
"El servicio del servidor SMB ahora tiene un valor predeterminado de 2 segundos entre cada autenticación NTLM entrante fallida", explica el experto en seguridad de Microsoft, Ned Pyle.
SMB hace referencia al protocolo de intercambio de archivos de red del bloque de mensajes del servidor (SMB). Windows y Windows Server vienen con el servidor SMB habilitado. NTLM hace referencia al protocolo NT Lan Manager (NTLM) para la autenticación cliente-servidor con, por ejemplo, inicios de sesión NTLM de Active Directory (AD).
Un atacante en una red puede hacerse pasar por un "servidor amigable" para interceptar las credenciales NTLM que se transmiten entre el cliente y el servidor. Otra opción es usar un nombre de usuario conocido y luego adivinar la contraseña con múltiples intentos de inicio de sesión. Sin la configuración predeterminada del limitador de velocidad, un atacante podría adivinar la contraseña en cuestión de días u horas, sin ser detectado, señala Pyle.
La configuración del limitador de velocidad predeterminado de SMB está disponible en Windows 11 Insider Preview Build 25206 para Dev Channel. Si bien el servidor SMB se ejecuta de forma predeterminada en Windows, no es accesible de forma predeterminada. Sin embargo, el limitador de velocidad del servidor SMB cumplirá un propósito porque los administradores a menudo lo hacen accesible al crear un recurso compartido SMB del cliente que abre el firewall.
"A partir de la compilación 25206, está activado de forma predeterminada y configurado en 2000 ms (2 segundos). Cualquier nombre de usuario o contraseña incorrectos que se envíen a SMB ahora causarán un retraso de 2 segundos de forma predeterminada en todas las ediciones de Windows Insiders. Cuando se lanzó por primera vez a Windows Insiders , este mecanismo de protección estaba desactivado de forma predeterminada. Este cambio de comportamiento no se realizó en Windows Server Insiders, todavía está predeterminado en 0 ", señala el equipo de Windows Insider.
El nuevo valor predeterminado debería ayudar en situaciones en las que los usuarios o administradores configuren máquinas y redes de una manera que los exponga a ataques de adivinación de contraseñas.
"Si su organización no tiene un software de detección de intrusos o no establece una política de bloqueo de contraseña, un atacante podría adivinar la contraseña de un usuario en cuestión de días u horas. Un usuario consumidor que apaga su firewall y lleva su dispositivo a una red insegura tiene un problema similar", explica Pyle.
Microsoft está implementando gradualmente valores predeterminados más seguros en Windows 11. A principios de este año, introdujo una política de bloqueo de cuenta predeterminada para mitigar RDP y otros ataques de contraseña de fuerza bruta.
Y en la actualización de Windows 11 2022, Microsoft agregó varios valores predeterminados de seguridad más, como Smart App Control para permitir que solo se ejecuten aplicaciones seguras y, de forma predeterminada, bloquear PowerShell, archivos LNK y scripts de Visual Basic de Internet.
Pyle también ha publicado una demostración del limitador de velocidad SMB en acción.