Recenti sviluppi hanno evidenziato vulnerabilità associate al riquadro di anteprima di Esplora file di Windows, in cui possono essere esposti gli hash delle password NTLM. Tali exploit consentono agli aggressori di riutilizzare o violare queste credenziali offline. In risposta a questo rischio, Microsoft ha disabilitato le anteprime dei file per i contenuti scaricati nei suoi ultimi aggiornamenti di Windows. Questa guida illustra le strategie essenziali per proteggersi da potenziali perdite di hash NTLM tramite le anteprime di Esplora file.
Comprendere le vulnerabilità delle anteprime di Esplora file
NT LAN Manager (NTLM) è un protocollo di autenticazione progettato da Microsoft per vari account e servizi Windows. Sebbene sia stato ampiamente sostituito da Kerberos a causa delle sue carenze di sicurezza, NTLM rimane in uso per garantire la retrocompatibilità. Sfortunatamente, la sua presenza crea condizioni di vulnerabilità.
Gli aggressori possono sfruttare la funzionalità di anteprima di Esplora file per eseguire richieste NTLM che potrebbero esporre password locali o di dominio in formato hash. Durante l’anteprima, se il file contiene istruzioni per le richieste NTLM, Windows può elaborare inavvertitamente tali richieste, trasmettendo password hash a server dannosi. I criminali informatici possono quindi tentare di decifrare questi hash offline o lanciare attacchi pass-the-hash.
Microsoft ha riconosciuto la presenza di minacce persistenti legate a questi attacchi. Di conseguenza, con gli ultimi aggiornamenti, le anteprime dei file identificati con Mark of the Web (MoTW), in genere file scaricati da Internet, non vengono più visualizzate.
Proteggere il tuo sistema dalla perdita di hash NTLM
Per ridurre al minimo i rischi associati alla perdita di hash NTLM, in particolare dai file scaricati da Internet, gli utenti devono adottare determinate misure di sicurezza, poiché Microsoft Defender non rileva in modo definitivo i tentativi di richiesta NTLM semplicemente tramite la scansione dei file. Di seguito sono riportati alcuni passaggi pratici per rafforzare le difese:
- Mantieni Windows aggiornato: assicurati che il tuo sistema operativo sia aggiornato. L’aggiornamento di sicurezza del 14 ottobre ha disabilitato le anteprime dei file per i file MoTW. In Windows 11, vai su Impostazioni → Windows Update per verificare e installare eventuali aggiornamenti disponibili.
- Esegui un’analisi comportamentale online: le scansioni antivirus standard potrebbero non identificare richieste NTLM dannose. Se sospetti che un file possa essere dannoso, utilizza uno strumento di analisi comportamentale per aprirlo in un ambiente sicuro (sandbox) e monitorarne il comportamento. Strumenti come Joe Sandbox e MetaDefender sono ottime opzioni.
- Credenziali NTLM sicure: adotta misure proattive per proteggere le tue credenziali NTLM e ridurre significativamente le probabilità di una violazione. Questa guida illustra metodi dettagliati per proteggere le credenziali NTLM di Windows.
- Test del comportamento dei file in una macchina virtuale: crea un ambiente virtuale per valutare il comportamento dei file sospetti senza mettere a rischio il sistema principale. Puoi utilizzare applicazioni Hyper-V o di terze parti per osservare qualsiasi attività di rete durante l’anteprima.
- Disattivare le anteprime di Esplora file a livello di sistema: per impedire completamente la perdita di hash NTLM tramite le anteprime dei file, si consiglia di disattivare completamente i gestori delle anteprime. Aprire Esplora file, selezionare Opzioni dal menu “Altro”, accedere alla scheda ” Visualizza ” e deselezionare l’opzione ” Mostra gestori di anteprima nel riquadro di anteprima”.
Anteprima sicura dei file attendibili
Se si è certi che un file scaricato è sicuro e si desidera visualizzarne un’anteprima nonostante le modifiche apportate all’ultimo aggiornamento di Windows, è necessario sbloccare il file. Ecco come fare:
Fai clic con il pulsante destro del mouse sul file e seleziona Proprietà. Nella scheda Generale, individua la sezione Sicurezza e seleziona la casella Sblocca prima di confermare le modifiche. Questo ti permetterà di visualizzare l’anteprima del file.
Tuttavia, sbloccare i file singolarmente può essere noioso. Per lo sblocco in blocco, utilizzare un comando di PowerShell in una cartella designata in cui sono salvati tutti i file. Tenere premuto Shift, fare clic con il pulsante destro del mouse in uno spazio vuoto e selezionare ” Apri finestra di PowerShell qui”.
In PowerShell, eseguire il comando seguente:
Get-ChildItem -File | Unblock-File
In questo modo verranno sbloccati tutti i file nella cartella specificata e sarà possibile visualizzarli in anteprima.
Sebbene l’impossibilità di visualizzare l’anteprima dei file per impostazione predefinita possa essere fastidiosa, tali misure sono cruciali per la sicurezza finché NTLM non verrà definitivamente deprecato nelle future versioni di Windows. Inoltre, l’utilizzo costante di password complesse e univoche può contribuire a mitigare le conseguenze di qualsiasi potenziale esposizione all’hash NTLM.
Lascia un commento