Para defenderse de los ataques de fuerza bruta, Microsoft agregó un limitador de velocidad de autenticación de forma predeterminada al servidor SMB de Windows en la versión preliminar más reciente de Dev Channel.
Esto ahora aumentaría la brecha entre cada autenticación NTLM fallida, lo que haría que el ataque fuera lento y poco atractivo para el hacker. Los administradores del sistema deben ejecutar un comando de PowerShell para habilitar esta protección.
Protección de Windows 11 SMB
El bloque de mensajes del servidor (SMB) del sistema operativo Windows es uno de los muchos elementos que los piratas informáticos atacan con frecuencia, ya que les brinda acceso profundo a la máquina del objetivo. Así que para limitarlo, Microsoft tiene un limitador de velocidad de autenticación en su lugar, lo que restringe la cantidad de veces que se realiza una autenticación en el sistema por segundo.
Esta protección ahora es predeterminada en los servidores SMB de Windows 11, las máquinas de Azure y las compilaciones beta, con la última versión de Insider Preview Build 25206 para Dev Channel. La protección ahora tiene un valor predeterminado de 2 segundos entre cada autenticación NTLM entrante fallida, lo que amplía la brecha de ataques frecuentes, es decir, intentos de fuerza bruta.
Con esto en su lugar, ¡un ataque de fuerza bruta con 300 intentos por segundo (un total de 90,000 intentos en 5 minutos) ahora tomará 50 horas como mínimo para el mismo! Con esta drástica ralentización de la autenticación, es de esperar que el servidor SMB sea un objetivo menos atractivo para el hacker.
Bueno, esto debe ser activado por los administradores del sistema inicialmente ejecutando el siguiente comando de PowerShell (donde n es el tiempo de retraso entre cada intento fallido de autenticación NTLM);
Set-SmbServerConfiguration -InvalidAuthenticationDelayTimeInMs n
Hablando de esto, el Gerente Principal de Programas del grupo de ingeniería de Microsoft Windows Server, Ned Pyle, dicho;
“Reforzaremos, desaprobaremos o eliminaremos muchos comportamientos de protocolo SMB y pre-SMB heredados en las próximas versiones importantes de sistemas operativos en una campaña de modernización de la seguridad, similar a la eliminación de SMB1”.
