A Microsoft confirmou seus planos de descontinuar o NT LAN Manager (NTLM) no Windows 11 no segundo semestre do ano, anunciando uma série de medidas de segurança para fortalecer o sistema operacional de desktop amplamente utilizado.

“Descontinuar o NTLM tem sido um grande pedido de nossa comunidade de segurança, pois irá fortalecer a autenticação do usuário, e a descontinuação está planejada para o segundo semestre de 2024”, disse a gigante da tecnologia.

O Windows maker anunciou originalmente sua decisão de abandonar o NTLM em favor do Kerberos para autenticação em outubro de 2023.

Apesar da falta de suporte do NTLM para métodos criptográficos como AES ou SHA-256, o protocolo também foi vulnerável a ataques de relay, técnica amplamente explorada pelo ator APT28 ligado à Rússia, via falhas zero-day no Microsoft Outlook.

Outras mudanças chegando ao Windows 11 incluem a ativação por padrão da proteção da Autoridade de Segurança Local (LSA) para novos dispositivos do consumidor e o uso da segurança baseada em virtualização (VBS) para proteger a tecnologia Windows Hello.

O Smart App Control, que protege os usuários de executar aplicativos não confiáveis ou não assinados, também foi aprimorado com um modelo de inteligência artificial para determinar a segurança dos aplicativos e bloquear aqueles desconhecidos ou que contenham malware.

Complementando o Smart App Control está uma nova solução abrangente chamada Trusted Signing, que permite aos desenvolvedores assinar seus aplicativos e simplifica todo o processo de assinatura de certificados.

Alguns dos outros aprimoramentos de segurança notáveis incluem o isolamento de aplicativos Win32, limitação do abuso de privilégios de administrador por meio da solicitação de aprovação explícita do usuário e enclaves VBS para desenvolvedores de terceiros criarem ambientes de execução confiáveis.

Microsoft também disse que não confiará mais em certificados de autenticação do servidor TLS com chaves RSA inferiores a 2048 bits devido aos “avanços na capacidade computacional e criptanálise”.

Encerrando a lista de recursos de segurança está o Zero Trust Domain Name System (ZTDNS), que tem como objetivo ajudar os clientes comerciais a restringir o Windows em suas redes permitindo que dispositivos Windows conectem-se apenas a destinos de rede aprovados por nome de domínio.

Essas melhorias seguem críticas às práticas de segurança da Microsoft que permitiram a atores de Estado-nação da China e da Rússia invadirem seu ambiente Exchange Online, com um relatório recente do Conselho de Revisão de Segurança Cibernética dos EUA observando que a cultura de segurança da empresa precisa de uma reformulação.

Em resposta, a Microsoft delineou grandes mudanças para priorizar a segurança acima de tudo como parte de sua Iniciativa de Futuro Seguro (SFI) e responsabilizar diretamente a alta liderança por atender aos objetivos de cibersegurança.

O Google, por sua vez, disse que o relatório do CSRB “destaca uma necessidade urgente e muito atrasada de adotar uma nova abordagem para a segurança”, pedindo aos governos que adquiram sistemas e produtos que sejam seguros por design, exijam recertificações de segurança para produtos que sofreram incidentes de segurança importantes e estejam cientes dos riscos impostos pela monocultura.

“Usar o mesmo fornecedor para sistemas operacionais, e-mail, software de escritório e ferramentas de segurança […] aumenta o risco de uma única violação comprometer todo um ecossistema”, disse a empresa.

“Os governos devem adotar uma estratégia multi-fornecedores e desenvolver e promover padrões abertos para garantir a interoperabilidade, facilitando a substituição de produtos inseguros por aqueles mais resilientes a ataques”.