Microsoft va dezactiva NTLM în viitoarele versiuni Windows

Microsoft a anunțat că va dezactiva protocolul de autentificare NTLM, vechi de 30 de ani, în mod implicit în viitoarele versiuni Windows, din cauza vulnerabilităților de securitate care expun instituțiile la atacuri cibernetice.

NTLM (New Technology LAN Manager) este un protocol de autentificare de tip provocare-răspuns (challenge-response) introdus în 1993 odată cu Windows NT 3.1 și este succesorul protocolului LAN Manager (LM).

Kerberos a înlocuit NTLM și este acum protocolul implicit pentru dispozitivele conectate la domeniu care rulează Windows 2000 sau o versiune ulterioară. Deși era protocolul implicit în versiunile mai vechi de Windows, NTLM este încă utilizat astăzi ca metodă de autentificare de rezervă atunci când Kerberos nu este disponibil, chiar dacă utilizează criptografie slabă și este vulnerabil la atacuri.

De la lansarea sa, NTLM a fost exploatat pe scară largă în atacurile de tip NTLM relay (în care atacatorii forțează dispozitivele de rețea compromise să se autentifice pe serverele controlate de aceștia) pentru a escalada privilegiile și a prelua controlul complet asupra domeniului Windows.

În ciuda acestui fapt, NTLM este încă utilizat pe serverele Windows, permițând atacatorilor să exploateze vulnerabilități precum PetitPotam, ShadowCoerce, DFSCoerce și RemotePotato0 pentru a ocoli măsurile de securitate împotriva atacurilor de tip NTLM relay.

NTLM a fost, de asemenea, ținta atacurilor de tip pass-the-hash, în care persoanele rău intenționate exploatează vulnerabilitățile sistemului sau implementează software malițios pentru a fura hash-uri NTLM (parole hash) din sistemele vizate. Aceste parole hash sunt utilizate pentru autentificarea ca utilizator compromis, permițând atacatorilor să sustragă date sensibile și să se răspândească în rețea.

Joi, ca parte a unei inițiative mai ample de promovare a metodelor de autentificare fără parolă și rezistente la phishing, Microsoft a anunțat că NTLM va fi în cele din urmă dezactivat în mod implicit în următoarea versiune majoră de Windows Server și în versiunile asociate de Windows Client, marcând o schimbare semnificativă de la protocolul vechi la o autentificare mai sigură bazată pe Kerberos.

Microsoft a prezentat, de asemenea, un plan de tranziție în trei faze, conceput pentru a atenua riscurile legate de NTLM, minimizând în același timp perturbările. În prima fază, administratorii vor putea utiliza instrumente de audit îmbunătățite disponibile în Windows 11 24H2 și Windows Server 2025 pentru a identifica unde este încă utilizat NTLM.

Faza a doua, programată pentru a doua jumătate a anului 2026, va introduce noi funcții, precum IAKerb și un centru local de distribuire a cheilor, pentru a aborda scenariile comune care declanșează revenirea la NTLM.

Faza a treia va dezactiva NTLM de rețea în mod implicit în versiunile viitoare, chiar dacă protocolul va rămâne prezent în sistemul de operare și poate fi reactivat în mod explicit prin controale de politică, dacă este necesar.

Microsoft a anunțat pentru prima dată planurile de a renunța la protocolul de autentificare NTLM în octombrie 2023, menționând că dorește, de asemenea, să extindă controalele de gestionare pentru a oferi administratorilor o mai mare flexibilitate în monitorizarea și restricționarea utilizării NTLM în mediile lor.

De asemenea, a renunțat oficial la autentificarea NTLM pe serverele Windows și sistemele Windows în iulie 2024, sfătuind dezvoltatorii să treacă la autentificarea Kerberos sau Negotiation pentru a preveni probleme viitoare.

Microsoft avertizează dezvoltatorii să nu mai utilizeze NTLM în aplicațiile lor încă din 2010 și sfătuiește administratorii Windows să dezactiveze NTLM sau să își configureze serverele pentru a bloca atacurile de tip relay NTLM utilizând Active Directory Certificate Services (AD CS).

Sursă: https://www.bleepingcomputer.com/news/microsoft/microsoft-to-disable-ntlm-by-default-in-future-windows-releases/