Microsoft abbandona l'autenticazione NTLM su Windows 11 24H2: cosa significa davvero

Microsoft ha annunciato che, con Windows 11 24H2, Windows Server 2025 e versioni successive, il supporto per NTLMv1 (NT LAN Manager versione 1) è completamente rimosso.

NTLM è un protocollo di autenticazione sviluppato da Microsoft negli anni ’90 che ha subìto successivi miglioramenti ma che Microsoft sta in questo momento cercando di mettere alla porta il prima possibile. Perché? Perché periodicamente si registrano nuove vulnerabilità nell’implementazione di NTLM nei sistemi operativi Windows. Ed è un problema rilevante perché il protocollo NTLM è utilizzato per gestire le operazioni di autenticazione su tutti i sistemi Windows, indipendentemente dal fatto che essi siano collegati con un dominio oppure utilizzati con un approccio stand alone.

Significato della rimozione del supporto per NTLMv1 in Windows 11 24H2

NTLM è vulnerabile ad attacchi brute force: gli aggressori possono provare a indovinare le password degli utenti, gestite proprio mediante NTLM, utilizzando un gran numero di tentativi.

Gli attaccanti possono inoltre sfruttare il metodo pass-the-hash, che consente loro di utilizzare gli hash delle password per autenticarsi su altri sistemi senza conoscere le password originali.

Il fatto è che questi attacchi sono utilizzati sempre più spesso: basta cliccare su un file dannoso in Esplora file oppure visualizzarne l’anteprima per trasferire l’hash della propria password a utenti remoti.

È successo anche molto di recente anche con una falla di sicurezza molto simile, scoperta da 0patch: affligge tutte le versioni di Windows e non è stata ancora corretta da Microsoft.

NTLM: una tecnologia obsoleta

Microsoft ha riconosciuto i limiti di NTLM sul piano della sicurezza. Il primo passo consiste nella rimozione della versione più datata (NTLMv1, appunto, come specificato in questo documento di supporto) da Windows 11 24H2 e Windows Server 2025 ma l’azienda di Redmond ha sottolineato che tutte le versioni di questo protocollo, inclusi LANMAN, NTLMv1 e NTLMv2, non sono più soggette a sviluppo attivo e sono considerate obsolete.

Sebbene NTLM continuerà a funzionare nelle prossime versioni di Windows Server e Windows, Microsoft raccomanda vivamente di passare all’uso di Kerberos o del protocollo Negotiate.

NTLM non riceverà più aggiornamenti o miglioramenti: ciò implica che eventuali vulnerabilità future potrebbero non essere corrette. Un dato sicuramente preoccupante proprio per il fatto che NTLM è puntualmente soggetto a vari attacchi informatici.

Cos’è Negotiate e come funziona

Microsoft incoraggia gli sviluppatori e gli amministratori a sostituire le chiamate a NTLM con chiamate a Negotiate. Questo protocollo tenta prima di autenticarsi usando Kerberos e ricorre a NTLM solo se necessario. L’idea è quella di migliorare la sicurezza complessiva delle autenticazioni in ambiente Windows.

L’autenticazione tramite Negotiate non è limitata solo agli ambienti Active Directory ma può essere utilizzata anche su singoli PC. Tuttavia, la migrazione richiederà del tempo e presuppone che ci sia un server ad autenticare ciascun utente.

Come verificare la versione di NTLM in uso

Provate a premere Windows+R, a scrivere regedit quindi a inserire la chiave HKLM\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0 nella casella di ricerca in alto.

A seconda dei valori assunti da NtlmMinClientSec e NtlmMinServerSec, riportati tra parentesi, se le cifre iniziali sono 512, si sta usando NTLMv1; se 5376 NTLMv2; se 5368 NTLMv2-SSP.

NTLMv2-SSP (NT LAN Manager versione 2 – Security Support Provider) è un protocollo di autenticazione più recente ma, nonostante alcune migliorie, soffre ancora di molteplici vulnerabilità.