Tra gli ingegneri software Microsoft che si occupano dell’implementazione del protocollo SMB (Server Message Block) sia in Windows che in Windows Server c’è Ned Pyle. In passato si è occupato di ridurre la banda impegnata nei trasferimenti di dati in rete locale intervenendo anche sui problemi prestazionali durante la copia dei file. Pyle ha anche deciso per il blocco delle condivisioni Windows senza password e, in generale, ha introdotto importanti novità per proteggere le risorse condivise da attacchi brute force. Adesso è la volta di introdurre SMB signing per tutti gli utenti di Windows 11.
SMB compie un ulteriore passo in avanti. Pyle ha infatti svelato che per tutte le connessioni SMB, d’ora in avanti Windows 11 richiederà l’utilizzo di SMB signing. A far propria la novità è l’edizione Enterprise di Windows 11, nella più recente release di anteprima, ma in breve tempo l’innovazione sarà portata su tutte le edizioni del sistema operativo. Inoltre, riguarderà presto anche le versioni stabili di Windows 11 e Windows Server.
Cos’è SMB signing e come funziona
SMB signing è una funzionalità di sicurezza implementata nel protocollo di rete SMB, utilizzato per la condivisione di file, stampanti e altre risorse in un ambiente di rete. È progettata per garantire l’integrità e l’autenticità delle comunicazioni SMB tra un client e un server. Ogni pacchetto SMB inviato è firmato digitalmente dal mittente e verificato dal destinatario. Ciò impedisce la manipolazione o l’alterazione dei dati SMB durante la trasmissione.
L’utilizzo di SMB signing offre diversi vantaggi in termini di sicurezza: la firma digitale, ad esempio, consente di verificare che i dati non siano stati modificati o compromessi durante la trasmissione. C’è poi l’autenticazione che garantisce l’identità del mittente dei pacchetti SMB. Con SMB signing è inoltre possibile prevenire attacchi MITM (man-in-the-middle).
La funzionalità richiede un’attivazione sia sul client che sul server. In questo senso, l’iniziativa presentata da Pyle mira ad estenderne l’adozione su vasta scala in tempi relativamente brevi.
Il client inserisce un hash dell’intero messaggio nel campo della firma nell’intestazione SMB. Se qualcuno modifica il messaggio in transito sulla rete, l’hash non corrisponderà e SMB saprà che qualcuno ha manomesso i dati. La conferma dell’identità di mittente e destinatario evita la fattibilità degli attacchi NTLM relay.
Cosa sono gli attacchi NTLM relay
Gli NTLM relay attack sono piuttosto noti e comuni: avevamo spiegato con possono essere utilizzati per diventare amministratori di dominio senza averne titolo. Gli attacchi sfruttano la mancanza di autenticazione lato server nel protocollo NTLM (NT LAN Manager), introdotto da Microsoft negli anni ’90. Gli attacchi NTLM relay possono essere particolarmente pericolosi perché consentono agli attaccanti di sfruttare le debolezze del protocollo e l’assenza di autenticazione per compromettere le credenziali degli utenti senza nemmeno dover rompere direttamente le password. Questo tipo di attacco è spesso utilizzato per ottenere accesso non autorizzato alle risorse di rete, come server di file o applicazioni, o per ottenere ulteriori informazioni utili per ulteriori attacchi.
Per mitigare gli attacchi NTLM relay si possono adottare diverse contromisure. Oltre al passaggio all’autenticazione basata su Kerberos, comunque non immune a vulnerabilità di sicurezza, risolvibili mediante l’installazione di apposite patch, l’abilitazione della funzionalità SMB signing risulta cruciale.
SMB signing attivato per impostazione predefinita
Pyle ha confermato che SMB signing sarà abilitato per default in tutte le edizioni di Windows 11 e di Windows Server nel corso dei prossimi mesi.
Ovviamente c’è un po’ il rovescio della medaglia. Sebbene il meccanismo di SMB signing sia stato ottimizzato nel corso degli anni, la sua abilitazione tende a ridurre le performance durante le operazioni di copia dei dati. Questo comportamento si avverte di meno utilizzando processori moderni e veloci. Inoltre, è meno evidente all’aumentare del numero di core della CPU. “La sicurezza non può essere lasciata al caso“, osserva Pyle.
È comunque bene tenere presente che sui sistemi dove SMB signing è disabilitato, vengono mostrati messaggi di errore come “La firma crittografica non è valida“, STATUS_INVALID_SIGNATURE
, 0xc000a000
o -1073700864
. Ciò avviene nel momento in cui si tenta di accedere alla risorsa condivisa via SMB.
Chi volesse disattivare SMB signing e tornare alla configurazione storicamente utilizzata (insicura), può usare un paio di cmdlet PowerShell. Basta premere Windows+X
, selezionare la voce Terminale (Admin) quindi impartire i due comandi che seguono:
Set-SmbClientConfiguration -RequireSecuritySignature $false Set-SmbServerConfiguration -RequireSecuritySignature $false
L’ingegnere software di Microsoft conferma inoltre che prossimamente saranno introdotte ulteriori modifiche sul comportamento di SMB. L’obiettivo è quello di migliorare la sicurezza e le prestazioni durante il trasferimento dati tra un sistema e l’altro.