El servicio de servidor SMB de Microsoft en Windows 11 recibió una actualización destinada a mejorar la defensa contra los ataques de fuerza bruta.
En la última actualización de Windows 11 2022 del sistema operativo, Insider Preview Build 25206, recientemente enviada al Dev Channel, el limitador de tasa de autenticación SMB está habilitado de manera predeterminada.
Además, se han modificado un par de configuraciones más para que estos ataques sean «menos efectivos».
Objetivo poco atractivo
«Con el lanzamiento de Windows 11 Insider Preview Build 25206 Dev Channel hoy, el servicio del servidor SMB ahora tiene un valor predeterminado de 2 segundos entre cada autenticación NTLM entrante fallida», dijo Ned Pyle, director principal de programas en el grupo de ingeniería de Microsoft Windows Server. en una entrada de blog (se abre en una pestaña nueva) anunciando la noticia.
«Esto significa que si un atacante envió previamente 300 intentos de fuerza bruta por segundo desde un cliente durante 5 minutos (90,000 contraseñas), la misma cantidad de intentos ahora tomaría 50 horas como mínimo».
En otras palabras, al activar la función, hay un retraso entre cada intento fallido de autenticación NTLM, lo que hace que el servicio del servidor SMB sea más resistente a los ataques de fuerza bruta.
«El objetivo aquí es hacer que un cliente de Windows sea un objetivo poco atractivo, ya sea en un grupo de trabajo o para sus cuentas locales cuando se une a un dominio», intervinieron Amanda Langowski y Brandon LeBlanc de Microsoft.
El limitador de tasa de autenticación, que no está habilitado de forma predeterminada, se introdujo por primera vez en las compilaciones de Windows Server, Windows Server Azure Edition y Windows 11 Insider, hace unos seis meses. El servidor SMB, por otro lado, se inicia automáticamente en todas las versiones. Sin embargo, debe estar expuesto a Internet abriendo manualmente un firewall.
Aquellos interesados en probar la nueva función deben ejecutar este comando de PowerShell:
Establecer-SmbServerConfiguration-InvalidAuthenticationDelayTimeInMs n
«Este cambio de comportamiento no tiene efecto en Kerberos, que se autentica antes de que se conecte un protocolo de aplicación como SMB. Está diseñado para ser otra capa de defensa en profundidad, especialmente para dispositivos que no están unidos a dominios, como los usuarios domésticos», dijo Pyle.