Windows 11 protegge i file condivisi via SMB dagli attacchi brute-force

• Windows 11

L’implementazione del protocollo SMB (Server Message Block), utilizzato per condividere file e cartelle in Windows, è stato spesso al centro di interventi da parte di Microsoft.
L’azienda di Redmond ha ad esempio deciso di disattivare SMBv1 in Windows perché espone a concreti rischi sul versante della sicurezza. Rischi che oggi non è possibile correre.
SMBv1 è intrinsecamente insicuro perché non integra funzioni di sicurezza adottate nelle implementazioni più recenti e resta comunque vulnerabile a un ampio ventaglio di codici exploit.

Anche le versioni più recenti di SMB (compresa l’implementazione del protocollo SMBv3) sono comunque oggetto di frequenti interventi correttivi da parte di Microsoft.
Ciononostante SMB risulta lo strumento più utilizzato, ad esempio, per condividere i dati tra sistemi Windows, macOS e Linux (la “declinazione” del pinguino si chiama Samba).

Di recente Microsoft ha migliorato la compressione dei dati trasferiti via SMB per copiare e spostare file e cartelle molto più velocemente da una macchina all’altra e oggi vengono annunciati significativi passi in avanti anche sul piano della sicurezza.

Ned Pyle, lo stesso ingegnere Microsoft che ha introdotto il meccanismo SMB Compression, annuncia oggi l’introduzione di un sistema di protezione che evita gli attacchi brute-force. Windows 11 si arricchisce di una nuova misura di difesa che introduce forzosamente un ritardo di 2 secondi tra un tentativo fallito di autenticazione e quello successivo.
“Ciò significa che se un malintenzionato poteva in precedenza effettuare 300 tentativi di accesso a una risorsa condivisa per 5 minuti (90.000 password), lo stesso numero di tentativi ora richiederebbe almeno 50 ore“, ha spiegato Pyle.
L’obiettivo è rendere un client Windows una destinazione poco attraente quando altri utenti provassero ad accedere a una risorsa condivisa via SMB.

La modifica introdotta da Pyle è per il momento attiva per impostazione predefinita solamente nelle build di anteprima di Windows 11: nei prossimi mesi sarà portata nelle versioni stabili del sistema operativo. In Windows Server e in Windows Server Azure Edition è attivabile su richiesta dell’amministratore.

Con il seguente comando PowerShell è possibile impostare il numeri di secondi (“n”) che Windows deve lasciare trascorrere tra un tentativo di accesso fallito e quello successivo:

Set-SmbServerConfiguration -InvalidAuthenticationDelayTimeInMs n

Con il comando Get-SmbServerConfiguration è invece possibile verificare la configurazione del componente server che gestisce le risorse condivise via SMB.

Ovviamente le misure descritte da Pyle hanno effetto solo per le condivisioni che prevedono l’autenticazione attraverso NTLM (NT LAN Manager), protocollo che su Active Directory deve essere sempre evitato per via delle intrinseche debolezze che presenta. La modifica non ha alcun effetto, ad esempio, su Kerberos, che si autentica prima che un protocollo applicativo come SMB si connetta.