A Microsoft confirmou na segunda-feira seus planos de depreciar o NT LAN Manager (NTLM) no Windows 11 no segundo semestre do ano, ao mesmo tempo em que anunciou uma série de novas medidas de segurança para fortalecer o sistema operacional de desktop amplamente utilizado.

“Descontinuar o NTLM tem sido um grande pedido de nossa comunidade de segurança, pois fortalecerá a autenticação do usuário, e a descontinuação está planejada para o segundo semestre de 2024”, disse a gigante da tecnologia.

A Microsoft anunciou originalmente sua decisão de abandonar o NTLM em favor do Kerberos para autenticação em outubro de 2023.

Apesar da falta de suporte do NTLM para métodos criptográficos como AES ou SHA-256, o protocolo também se mostrou suscetível a ataques de relay, uma técnica amplamente explorada pelo ator APT28 vinculado à Rússia por meio de falhas zero-day no Microsoft Outlook.

Outras mudanças chegando ao Windows 11 incluem a ativação da proteção da Autoridade de Segurança Local (LSA) por padrão para novos dispositivos de consumo e o uso da segurança baseada em virtualização (VBS) para proteger a tecnologia Windows Hello.

O Controle de Apps Inteligentes, que protege os usuários contra a execução de aplicativos não confiáveis ou não assinados, também foi aprimorado com um modelo de inteligência artificial para determinar a segurança dos aplicativos e bloquear aqueles desconhecidos ou que contêm malware.

Complementando o Controle de Apps Inteligentes está uma nova solução de ponta a ponta chamada Trusted Signing que permite aos desenvolvedores assinar seus aplicativos e simplifica todo o processo de assinatura de certificados.

Algumas das outras melhorias de segurança notáveis incluem o isolamento de aplicativos Win32, destinado a conter o dano no caso de comprometimento de um aplicativo, criando um limite de segurança entre o aplicativo e o sistema operacional; e os enclaves VBS para desenvolvedores de terceiros criarem ambientes de execução confiáveis.

A Microsoft também disse que não confiará mais em certificados de autenticação de servidor TLS (segurança de camada de transporte) com chaves RSA com menos de 2048 bits devido ao “avanço na capacidade de computação e criptoanálise”.

Finalizando a lista de recursos de segurança está o Sistema de Nome de Domínio de Confiança Zero (ZTDNS), que tem como objetivo ajudar os clientes comerciais a restringir o Windows dentro de suas redes permitindo apenas que os dispositivos Windows se conectem a destinos de rede aprovados por domínio.

Essas melhorias seguem críticas às práticas de segurança da Microsoft que permitiram que atores estatais da China e Rússia invadissem seu ambiente Exchange Online, com um recente relatório do Conselho de Revisão de Segurança Cibernética dos EUA observando que a cultura de segurança da empresa requer uma revisão.

Em resposta, a Microsoft delineou mudanças abrangentes para priorizar a segurança acima de tudo como parte de sua Iniciativa de Futuro Seguro (SFI) e responsabilizar diretamente a liderança sênior por alcançar metas de cibersegurança.

Por sua vez, o Google afirmou que o relatório do CSRB “destaca a urgente necessidade, muito atrasada, de adotar uma nova abordagem à segurança”, pedindo aos governos que adquiram sistemas e produtos seguros por design, imponham recertificações de segurança para produtos que sofreram incidentes graves de segurança e estejam cientes dos riscos apresentados pela monocultura.

“A mesma empresa para sistemas operacionais, e-mail, software de escritório e ferramentas de segurança […] aumenta o risco de uma única violação comprometer todo o ecossistema”, disse a empresa.

“Os governos devem adotar uma estratégia multi-fornecedor e desenvolver e promover padrões abertos para garantir a interoperabilidade, facilitando a substituição de produtos inseguros por aqueles mais resistentes a ataques.”