Da quando Kerberos è diventato il protocollo di autenticazione predefinito di Windows nel 2000, Microsoft ha cercato di eliminare gradualmente NTLM, considerato meno sicuro e ormai obsoleto. Tuttavia, fino a quando NTLM non sarà disabilitato per impostazione predefinita, l’azienda sta implementando nuove misure per contrastare gli attacchi relay NTLM.
Cos’è un attacco relay NTLM?
NTLM è una suite di protocolli Microsoft utilizzata per autenticare utenti e computer attraverso un meccanismo di richiesta/risposta. In questo processo, il client risponde alla sfida del server utilizzando l’hash della password dell’utente come chiave di crittografia.
Gli attacchi relay NTLM sfruttano questa vulnerabilità permettendo agli aggressori di utilizzare l’hash NTLM senza decifrarlo né estrarre la password. Documenti Office e email inviate tramite Outlook, grazie alla capacità di incorporare link UNC, rappresentano punti di ingresso particolarmente efficaci per tali attacchi. Recenti vulnerabilità legate a NTLM, incluse CVE-2024-21413, CVE-2023-23397 e CVE-2023-36563, hanno evidenziato questi rischi.
Novità di sicurezza: EPA attivato di default in Windows Server 2025
Microsoft ha raggiunto un’importante pietra miliare introducendo Windows Server 2025, in cui la protezione estesa per l’autenticazione (EPA) e l’associazione dei canali per il protocollo LDAP sono attivate per impostazione predefinita.
L’attuale configurazione predefinita di EPA è impostata su “Abilitato – Quando supportato”, consentendo compatibilità con client legacy che non supportano il binding dei canali. Per le aziende che non necessitano di tale supporto, Microsoft consiglia di configurare manualmente l’impostazione su “Abilitato – Sempre”.
Gli amministratori che utilizzano versioni precedenti, come Windows Server 2019 e 2022, possono attivare manualmente EPA per Active Directory Certificate Services (AD CS) e il channel binding per LDAP. Inoltre, il supporto per l’auditing è stato introdotto per identificare i dispositivi che non supportano il channel binding, facilitando la transizione verso configurazioni più sicure.
Miglioramenti di sicurezza per Exchange Server
In linea con questi sviluppi, all’inizio del 2024 Microsoft ha abilitato EPA per impostazione predefinita in tutte le nuove installazioni di Exchange Server 2019 e ha introdotto la protezione estesa come opzione attivabile tramite script su Exchange Server 2016.
