A Microsoft confirmou seus planos de descontinuar o NT LAN Manager (NTLM) no Windows 11 no segundo semestre do ano, conforme anunciou uma série de novas medidas de segurança para fortalecer o sistema operacional de desktop amplamente utilizado.
“Descontinuar o NTLM foi um grande pedido de nossa comunidade de segurança, pois fortalecerá a autenticação do usuário, e a descontinuação está prevista para o segundo semestre de 2024”, disse a gigante da tecnologia.
A empresa originalmente anunciou sua decisão de abandonar o NTLM em favor do Kerberos para autenticação em outubro de 2023.
Apesar da falta de suporte do NTLM para métodos criptográficos como AES ou SHA-256, o protocolo também tem sido suscetível a ataques de relay, uma técnica amplamente explorada pelo ator APT28 ligado à Rússia por meio de falhas zero-day no Microsoft Outlook.
Outras mudanças que estão chegando ao Windows 11 incluem a ativação da proteção da Autoridade de Segurança Local (LSA) por padrão para novos dispositivos de consumo e o uso da segurança baseada em virtualização (VBS) para proteger a tecnologia Windows Hello.
O Controle Inteligente de Aplicativos, que protege os usuários contra a execução de aplicativos não confiáveis ou não assinados, também foi aprimorado com um modelo de inteligência artificial para determinar a segurança dos aplicativos e bloquear aqueles que são desconhecidos ou contêm malware.
Complementando o Controle Inteligente de Aplicativos está uma nova solução de ponta a ponta chamada Assinatura Confiável que permite aos desenvolvedores assinar seus aplicativos e simplificar todo o processo de assinatura de certificados.
Algumas das outras melhorias em segurança dignas de nota incluem o isolamento de aplicativos Win32, limitar o abuso de privilégios de administrador exigindo a aprovação explícita do usuário, e enclaves VBS para desenvolvedores de terceiros criarem ambientes de execução confiáveis.
Além disso, a Microsoft disse que não confiará mais em certificados de autenticação de servidor TLS com chaves RSA com menos de 2048 bits devido aos “avanços em poder computacional e criptoanálise”.
Para encerrar a lista de recursos de segurança, há também o Sistema de Nome de Domínio Zero Trust (ZTDNS), que tem como objetivo ajudar os clientes comerciais a restringir o Windows em suas redes permitindo que dispositivos Windows se conectem apenas a destinos de rede aprovados por nome de domínio.
Essas melhorias seguem críticas às práticas de segurança da Microsoft que permitiram a atores estatais da China e da Rússia invadirem seu ambiente Exchange Online, com um relatório recente do Conselho de Revisão de Segurança Cibernética dos EUA observando que a cultura de segurança da empresa requer uma reformulação.
Em resposta, a Microsoft delineou mudanças abrangentes para priorizar a segurança acima de tudo como parte de sua Iniciativa de Futuro Seguro (SFI) e responsabilizar diretamente os principais líderes por atender às metas de cibersegurança.
Por sua vez, o Google disse que o relatório do CSRB “destaca a necessidade urgente e há muito tempo atrasada de adotar uma nova abordagem à segurança”, pedindo aos governos que adquiram sistemas e produtos que sejam seguros por design, exijam recertificações de segurança para produtos que sofrem incidentes de segurança graves, e estejam cientes dos riscos apresentados pela monocultura.
“A adoção do mesmo fornecedor para sistemas operacionais, email, software de escritório e ferramentas de segurança […] eleva o risco de uma única violação comprometer todo o ecossistema”, disse a empresa.
“Os governos devem adotar uma estratégia multi-fornecedores e desenvolver e promover padrões abertos para garantir a interoperabilidade, tornando mais fácil para as organizações substituírem produtos inseguros por aqueles que são mais resilientes a ataques”.
