Protezione delle credenziali NTLM di Windows dalle minacce alla sicurezza zero-day

Protezione delle credenziali NTLM di Windows dalle minacce alla sicurezza zero-day

Il protocollo di autenticazione NTLM (NT LAN Manager) legacy, pur essendo ancora diffuso nei dispositivi Windows, presenta rischi significativi per la sicurezza informatica. Abilitato di default, NTLM può diventare una vulnerabilità, esponendo potenzialmente le password di sistema durante gli attacchi malware. Gli aggressori spesso sfruttano queste debolezze utilizzando sofisticate tecniche man-in-the-middle (MitM), rendendo fondamentale per gli utenti adottare misure proattive per proteggere le proprie credenziali NTLM.

Comprendere le minacce NTLM

NTLM funziona convertendo la password in un formato hash, consentendo la verifica senza dover trasmettere la password effettiva in rete. Tuttavia, questo metodo è soggetto ad attacchi. Se un malware si infiltra nel sistema, la password potrebbe essere compromessa facilmente.

Evidenziando le recenti vulnerabilità, i ricercatori di sicurezza di Check Point hanno descritto dettagliatamente la falla “CVE-2025-24054”, che ha portato a continue minacce informatiche che prendono di mira dati sensibili principalmente nei settori governativo e aziendale in Polonia e Romania. Gli aggressori stanno implementando diverse tecniche, tra cui attacchi pass-the-hash (PtH), rainbow table e relay, mirando principalmente ad account amministrativi di alto livello.

Sebbene questi attacchi siano spesso diretti alle organizzazioni, i singoli utenti non sono immuni. Anche una semplice interazione con un file dannoso può comportare l’esposizione della password. Pertanto, è fondamentale assicurarsi che il sistema Windows sia regolarmente aggiornato; Microsoft ha introdotto un aggiornamento di sicurezza volto a contrastare questo particolare tipo di exploit.

1. Disabilitare l’autenticazione NTLM tramite PowerShell

Per rafforzare la difesa contro i rischi correlati a NTLM, inizia disabilitando l’autenticazione NTLM tramite PowerShell. Segui questi passaggi:

  1. Avviare PowerShell in modalità amministratore.
  2. Eseguire il seguente comando per bloccare l’utilizzo di NTLM su SMB (Server Message Block):

Set-SMBClientConfiguration -BlockNTLM $true

Modificare la configurazione del client SMB di destinazione in PowerShell per proteggersi dagli attacchi NTLM.

Conferma la modifica premendo A per sì. Bloccando NTLM su SMB, si riducono significativamente le vulnerabilità agli attacchi PtH e relay, sebbene ciò possa avere un impatto sui dispositivi più vecchi che si basano su NTLM.

Se riscontri problemi di compatibilità, ripristina l’impostazione utilizzando:

Set-SMBClientConfiguration -BlockNTLM $false

2. Passare a NTLMv2 nell’editor del Registro di sistema

Passare dal vecchio NTLM al più sicuro NTLMv2 è fondamentale per una maggiore sicurezza. Inizia eseguendo un backup del Registro di sistema e aprendo l’Editor del Registro di sistema come amministratore. Vai al seguente percorso:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Chiave di registro Lsa (Local Security Authority) e

Individua o crea il valore DWORD LmCompatibilityLevel. Impostalo su “3”, “4” o “5” per garantire che vengano inviate solo risposte NTLMv2, bloccando di fatto NTLMv1.

Successivamente, modifica il seguente percorso del registro:

COMPUTER\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters

Assicurarsi che il parametro DWORD RequireSecuritySignature sia impostato su “1”.Questa modifica renderà obbligatoria la firma di sicurezza per le connessioni SMB, aggiungendo un ulteriore livello di protezione contro il furto di credenziali.

3. Abilitare la protezione cloud in Sicurezza di Windows

Per chi preferisce non modificare il registro, sfruttare la funzionalità Sicurezza integrata di Windows può offrire una protezione sostanziale contro le minacce online. Per accedere a questa funzionalità, andare su Protezione da virus e minacce > Gestisci impostazioni > Protezione tramite cloud.

Abilitazione della protezione distribuita dal cloud in Sicurezza di Windows.

4. Esplorazione di ulteriori misure di sicurezza

Oltre ai passaggi sopra menzionati, prendi in considerazione questi ulteriori consigli di Microsoft per rafforzare le tue difese contro il furto di credenziali NTLM:

  • Evita link sospetti: molte minacce relative a NTLM si propagano tramite clickbait o link dannosi. Anche se Windows Security segnala queste minacce, è importante prestare attenzione per ridurre l’esposizione.
  • Aggiorna regolarmente il tuo sistema: controlla e applica regolarmente gli aggiornamenti di Windows per proteggerti dalle vulnerabilità scoperte di recente.
  • Utilizzare l’autenticazione a più fattori (MFA): l’implementazione dell’MFA può fornire un ulteriore livello di protezione, rendendo notevolmente più difficile l’accesso non autorizzato.
  • Informatevi e informate gli altri: conoscere le tattiche di ingegneria sociale e gli schemi di phishing può aiutare a prevenire l’esposizione accidentale.

L’adozione di queste misure critiche ridurrà significativamente le possibilità che le credenziali NTLM di Windows vengano compromesse, migliorando la sicurezza complessiva del sistema.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *