Microsoft a ajouté une nouvelle fonctionnalité de sécurité à Windows 11 qui permet aux administrateurs de bloquer NTLM sur SMB pour empêcher les attaques par transmission de hachage, par relais NTLM ou par craquage de mot de passe.
Cela modifiera l’approche existante selon laquelle les négociations d’authentification Kerberos et NTLM (c’est-à-dire LM, NTLM et NTLMv2) avec les serveurs de destination seraient alimentées par Windows SPNEGO.
Lors de la connexion à un partage SMB distant, Windows tentera de négocier l’authentification avec l’ordinateur distant en effectuant une réponse de stimulation NTLM.
Cependant, cette réponse de défi NTLM contiendra le mot de passe haché de l’utilisateur connecté essayant d’ouvrir le partage SMB, qui pourra ensuite être capturé par le serveur hébergeant le partage.
Ces hachages peuvent ensuite être piratés pour récupérer le mot de passe en texte brut ou utilisés dans NTLM Relay et dans des attaques de hachage pour se connecter en tant qu’utilisateur.
Cette nouvelle fonctionnalité permet à un administrateur de bloquer les NTLM sortants via SMB, empêchant ainsi l’envoi du mot de passe haché d’un utilisateur à un serveur distant, empêchant ainsi efficacement ces types d’attaques.
« Avec cette nouvelle option, un administrateur peut intentionnellement empêcher Windows de proposer NTLM via SMB », ont expliqué Amanda Langowski et Brandon LeBlanc de Microsoft.
« Un attaquant qui incite un utilisateur ou une application à envoyer des réponses de défi NTLM à un serveur malveillant ne recevra plus aucune donnée NTLM et ne pourra pas forcer, pirater ou transmettre un mot de passe, car ces données ne seront jamais envoyées sur le réseau. »
Cette couche de sécurité supplémentaire élimine le besoin d’arrêter complètement l’utilisation de NTLM au sein du système d’exploitation.
À partir de Windows 11 Insider Preview Build 25951, les administrateurs peuvent configurer Windows pour bloquer l’envoi de données NTLM via SMB sur les connexions sortantes distantes à l’aide de la stratégie de groupe et de PowerShell.
Ils peuvent également désactiver complètement l’utilisation de NTLM dans les connexions SMB à l’aide de NET USE et PowerShell.
« Une version ultérieure de Windows Insider permettra aux administrateurs de contrôler le blocage SMB NTLM sur des serveurs spécifiques avec une liste verte », a ajouté Ned Pyle, responsable de programme principal dans le groupe d’ingénierie Windows Server, dans un article de blog séparé.
« Un client pourra spécifier des serveurs SMB qui prennent uniquement en charge NTLM – soit en tant que non-membres du domaine, soit en tant que produits tiers – et autoriseront la connexion. »
Une autre nouvelle option disponible à partir de cette version est la gestion des dialectes SMB, qui permet aux administrateurs d’empêcher la connexion des appareils Windows plus anciens et non sécurisés en désactivant l’utilisation des anciens protocoles SMB au sein de leur organisation.
Exigence de signature des PME pour bloquer les attaques
Avec la sortie de Windows 11 Insider Preview Build 25381 sur Canary Channel, Redmond a également commencé à exiger la signature SMB (alias signatures de sécurité) par défaut pour toutes les connexions afin de se défendre contre les attaques de relais NTLM.
Dans ces attaques, les acteurs malveillants forcent les périphériques réseau, y compris les contrôleurs de domaine, à s’authentifier auprès des serveurs sous leur contrôle pour prendre le contrôle total du domaine Windows en se faisant passer pour eux.
La signature SMB est un mécanisme de sécurité SMB qui joue un rôle crucial pour contrecarrer les demandes d’authentification malveillantes en vérifiant l’identité de l’expéditeur et du destinataire grâce à l’utilisation de signatures intégrées et de hachages ajoutés à chaque message.
Il est disponible à partir de Windows 98 et 2000, et a été mis à jour dans Windows 11 et Windows Server 2022 pour améliorer la protection et les performances en accélérant considérablement les vitesses de cryptage des données.
Ces mises à jour font partie d’une initiative plus large visant à améliorer la sécurité de Windows et de Windows Server, comme le soulignent les annonces précédentes faites tout au long de 2022.
En avril 2022, Microsoft a franchi une étape importante en annonçant la phase finale de désactivation du protocole de partage de fichiers SMB1, vieux de trois décennies, dans Windows pour Windows 11 Home Insiders.
Poursuivant sur cette trajectoire, la société a dévoilé cinq mois plus tard des mesures de défense renforcées contre les attaques par force brute, en introduisant un limiteur de taux d’authentification SMB conçu pour atténuer l’impact des tentatives d’authentification NTLM entrantes infructueuses.