Microsoft ha annunciato la disponibilità della build 25951 di Windows 11 per gli iscritti al canale Canary del programma Insider. La principale novità riguarda il blocco di NTLM via SMB per evitare vari tipi di attacchi che portano al furto delle password. Gli amministratori possono inoltre rimuovere il supporto per le vecchie versioni del protocollo.
Protezione contro il furto di password
A partire dalla build 25951 di Windows 11, il client SMB (Server Message Block) supporta il blocco NTLM (NT Lan Manager) per le connessioni remote in uscita. In pratica, l’amministratore IT può impedire al sistema operativo di inviare i dati NTLM tramite una connessione SMB.
Quando viene effettuata una condivisione SMB, Windows 11 proverà a negoziare l’autenticazione con il computer remoto attraverso una “NTLM challenge response”. Questa risposta potrebbe contenere le password hashed dell’utente che vengono catturate dal server hosting. Le password sono cifrate, ma possono essere scoperte le password in chiaro o sfruttate per attacchi NTLM Relay e pass-the-hash.
Il blocco della ricezione dei dati NTLM garantisce la sicurezza, evitando la disattivazione completa di NTLM. L’amministratore può attivare il blocco tramite Criteri di gruppo o PowerShell, come descritto da Microsoft.
La seconda funzionalità permette invece la gestione dei “dialetti” SMB. L’amministratore può bloccare l’uso delle vecchie e vulnerabili versioni del protocollo, consentendo solo condivisioni tramite SMB 3.1.1. La scelta della versione minima e massima può essere effettuata nei Criteri di gruppo o con PowerShell.
Microsoft ha rilasciato anche la build 22631.2338 (KB5030305) nel canale Beta. L’unica novità è rappresentata dal widget Focus Session incluso nella versione 11.2306.22.0 dell’app Orologio disponibile sul Microsoft Store.