Bientôt la signature SMB obligatoire pour Windows 11.
Windows 11 exigera la signature SMB pour empêcher les attaques de relais NTLM. Microsoft indique que la signature SMB (alias signatures de sécurité) sera requise par défaut pour toutes les connexions afin de se défendre contre les attaques de relais NTLM, à commencer par la version actuelle de Windows (édition Entreprise) déployée auprès des initiés dans le canal Canary. Dans de telles attaques, les acteurs de la menace forcent les périphériques réseau (y compris les contrôleurs de domaine) à s’authentifier auprès des serveurs malveillants sous le contrôle des attaquants pour se faire passer pour eux et élever les privilèges pour obtenir un contrôle complet sur le domaine Windows. (Sources)
Le protocole SMB (Server Message Block) (aussi appelé CIFS (Common Internet File System)) fournit principalement un accès partagé aux fichiers sur un réseau Microsoft Windows. Il fournit aussi une authentification. Les options SMB suivantes ont des implications de sécurité. Restreindre l'accès anonyme à la liste de partages. Signature SMB activée ou Signature SMB Requise. Activer l'énumération basée sur les accès.
L’attaque de relais NTLM permet de forcer l’utilisateur à se connecter sur un système compromis. Toutes ses requêtes sont alors redirigées vers le service ciblé par les attaquants. Le but de cette opération consiste dans l’obtention d’une élévation de privilèges.
L'élévation de privilège en informatique désigne le processus par lequel un utilisateur ou un programme obtient des droits d'accès supérieurs à ceux qui lui sont normalement accordés. Cela peut être intentionnel, comme lorsqu'un administrateur accorde temporairement des privilèges à un utilisateur pour effectuer une tâche spécifique, ou involontaire, souvent exploitée par des pirates pour compromettre un système. Les vulnérabilités logicielles et les failles de sécurité sont souvent exploitées pour réaliser des élévations de privilèges, mettant ainsi en danger la confidentialité et l'intégrité des données.
L'administrateur peut reconfigurer le système d'exploitation. Il peut gérer les autorisations d'accès au réseau. Il surveille le système, gère la sécurité et automatise certaines tâches. Toutes ces fonctions présentent un risque pour les systèmes infectés et une atteinte à la politique de sécurité. Pour prévenir de telles attaques, il est essentiel de maintenir à jour les logiciels et d'appliquer des bonnes pratiques en matière de sécurité informatique.
Windows 11 obtient une meilleure protection contre les attaques par force brute des PME. Microsoft a annoncé que le serveur Windows 11 SMB est désormais mieux protégé contre les attaques par force brute avec la publication de l’Insider Preview Build 25206 sur le Dev Channel. La société a annoncé une meilleure protection contre les attaques par force brute avec l’introduction d’un limiteur de taux d’authentification SMB pour faire face aux échecs des tentatives d’authentification NTLM entrantes. (Sources)
Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.
