A Microsoft confirmou seus planos de desativar o NT LAN Manager (NTLM) no Windows 11 no segundo semestre do ano, ao anunciar uma série de novas medidas de segurança para fortalecer o sistema operacional de desktop amplamente utilizado.
“A desativação do NTLM tem sido um grande pedido de nossa comunidade de segurança, pois irá fortalecer a autenticação do usuário, e a desativação está planejada para o segundo semestre de 2024,” disse a gigante da tecnologia.
A Microsoft originalmente anunciou sua decisão de abandonar o NTLM em favor do Kerberos para autenticação em outubro de 2023.
Apesar da falta de suporte do NTLM para métodos criptográficos como AES ou SHA-256, o protocolo também tem sido vulnerável a ataques de relay, técnica amplamente explorada pelo ator APT28 ligado à Rússia por meio de falhas zero-day no Microsoft Outlook.
Outras mudanças chegando ao Windows 11 incluem a ativação da proteção da Autoridade de Segurança Local (LSA) por padrão para novos dispositivos de consumo e o uso da segurança baseada em virtualização (VBS) para proteger a tecnologia Windows Hello.
O Controle Inteligente de Aplicativos, que protege os usuários contra a execução de aplicativos não confiáveis ou não assinados, também foi atualizado com um modelo de inteligência artificial para determinar a segurança dos aplicativos e bloquear aqueles que são desconhecidos ou contêm malware.
Complementando o Controle Inteligente de Aplicativos, há uma nova solução ponta a ponta chamada Assinatura Confiável, que permite aos desenvolvedores assinarem seus aplicativos e simplifica todo o processo de assinatura de certificados.
Algumas das outras melhorias de segurança importantes são: isolamento de aplicativos Win32, que visa conter danos no caso de comprometimento de um aplicativo criando uma barreira de segurança entre o aplicativo e o sistema operacional; limitar o abuso de privilégios administrativos solicitando a aprovação explícita do usuário; enclaves VBS para desenvolvedores de terceiros criarem ambientes de execução confiáveis.
A Microsoft afirmou ainda que não mais confiará em certificados de autenticação de servidor TLS com chaves RSA inferiores a 2048 bits devido aos “avanços na potência de computação e na criptoanálise.”
Encerrando a lista de recursos de segurança está o Zero Trust Domain Name System (ZTDNS), que visa ajudar clientes comerciais a restringir o acesso ao Windows em suas redes, restringindo nativamente os dispositivos Windows a se conectarem apenas a destinos de rede aprovados por nome de domínio.
Essas melhorias também seguem críticas às práticas de segurança da Microsoft que permitiram que atores estatais da China e da Rússia invadissem seu ambiente Exchange Online, com um relatório recente da U.S. Cyber Safety Review Board (CSRB) observando que a cultura de segurança da empresa requer uma reformulação.
Em resposta, a Microsoft delineou mudanças abrangentes para priorizar a segurança acima de tudo como parte de sua Iniciativa de Futuro Seguro (SFI) e responsabilizar diretamente a alta administração por cumprir as metas de cibersegurança.
Por sua vez, o Google afirmou que o relatório do CSRB “destaca a necessidade urgente e há muito tempo esperada de adotar uma nova abordagem à segurança,” pedindo aos governos que adquiram sistemas e produtos seguros por design, apliquem recertificações de segurança para produtos que sofrem incidentes de segurança graves e estejam cientes dos riscos causados pela monocultura.
“Usar o mesmo fornecedor para sistemas operacionais, e-mail, software de escritório e ferramentas de segurança eleva o risco de uma única violação comprometer todo um ecossistema,” afirmou a empresa.
“Os governos devem adotar uma estratégia com múltiplos fornecedores e desenvolver e promover padrões abertos para garantir interoperabilidade, facilitando às organizações a substituição de produtos inseguros por aqueles mais resilientes aos ataques.”
