Microsoft dice que la firma sobre el protocolo SMB será necesaria de forma predeterminada para todas las conexiones, para defenderse de los ataques de retransmisión NTLM, comenzando con la versión actual.

En estos ataques, los actores de amenazas obligan a los dispositivos de red (incluidos los controladores de dominio) a autenticarse contra servidores maliciosos bajo el control de los atacantes para hacerse pasar por ellos y elevar los privilegios para obtener un control completo sobre el dominio de Windows.

“Esto cambia el comportamiento heredado, donde Windows 10 y 11 requerían la firma SMB de forma predeterminada solo cuando se conectaban a recursos compartidos llamados SYSVOL y NETLOGON y donde los controladores de dominio de Active Directory requerían la firma SMB cuando cualquier cliente se conectaba a ellos”, dijo Microsoft.

La firma SMB ayuda a bloquear las solicitudes de autenticación maliciosas al confirmar las identidades del remitente y el destinatario a través de firmas y hashes incrustados al final de cada mensaje. Los servidores SMB y los recursos compartidos remotos donde la firma SMB está deshabilitada generarán errores de conexión con varios mensajes, incluidos “La firma criptográfica no es válida”, “STATUS_INVALID_SIGNATURE”, “0xc000a000” o “-1073700864”.

Este mecanismo de seguridad ha estado disponible desde hace un tiempo, comenzando con Windows 98 y 2000, y se actualizó en Windows 11 y Windows Server 2022 para mejorar el rendimiento y la protección al acelerar significativamente el cifrado de datos.

La seguridad mejorada podría venir con un impacto en el rendimiento

Si bien el bloqueo de los ataques de retransmisión NTLM debe estar en la parte superior de la lista para cualquier equipo de seguridad, los administradores de Windows pueden tener problemas con este enfoque, ya que podría reducir las velocidades de copia de SMB. “La firma de SMB puede reducir el rendimiento de las operaciones de copia de SMB. Puede mitigar esto con más núcleos de CPU físicos o CPU virtuales, así como con CPU más nuevas y más rápidas”, advirtió Microsoft.

Sin embargo, los administradores tienen la opción de deshabilitar el requisito de firma SMB en las conexiones de servidor y cliente ejecutando los siguientes comandos desde una terminal de Windows PowerShell con privilegios elevados:

Set-SmbClientConfiguration -RequireSecuritySignature $false

Set-SmbServerConfiguration -RequireSecuritySignature $false

Si bien no es necesario reiniciar el sistema después de emitir estos comandos, las conexiones SMB ya abiertas seguirán usando la firma hasta que se cierren.

“Se espera que este cambio predeterminado para la firma llegue a Pro, Education y otras ediciones de Windows en los próximos meses, así como a Windows Server. Dependiendo de cómo vayan las cosas en Insiders, comenzará a aparecer en las versiones principales”. dijo el Gerente Principal de Programas de Microsoft, Ned Pyle.

En abril de 2022, Microsoft anunció la fase final de deshabilitar SMB1 en Windows al deshabilitar el protocolo de intercambio de archivos de 30 años de forma predeterminada para Windows 11 Home Insiders. Cinco meses después, la empresa anunció una mejor protección contra los ataques de fuerza bruta con la introducción de un limitador de tasa de autenticación SMB para hacer frente a los intentos de autenticación NTLM entrantes fallidos.

Referencia: https://www.bleepingcomputer.com/news/security/windows-11-to-require-smb-signing-to-prevent-ntlm-relay-attacks/