Esta característica de seguridad de Windows 11 hace que su PC sea "muy poco atractiva" para los piratas informáticos

Microsoft ha introducido un nuevo valor predeterminado para proteger las máquinas con Windows 11 contra los ataques de contraseña, lo que debería convertirlas en "un objetivo muy poco atractivo" para los piratas informáticos que intentan robar credenciales.

La versión preliminar más reciente de Windows 11 viene con el limitador de velocidad de autenticación del servidor SMB activado de forma predeterminada, lo que hace que los atacantes tarden mucho más en atacar el servidor con ataques de adivinación de contraseñas.   

“El servicio de servidor SMB ahora por defecto es un valor predeterminado de 2 segundos entre cada autenticación NTLM entrante fallida”, explica el experto en seguridad de Microsoft Ned Pyle. 

“Esto significa que si un atacante envió previamente 300 intentos de fuerza bruta por segundo desde un cliente durante 5 minutos (90,000 contraseñas), ahora tomaría la misma cantidad de intentos. 50 horas como mínimo. El objetivo aquí es convertir una máquina en un objetivo muy poco atractivo para atacar las credenciales locales a través de SMB”.

El limitador de frecuencia fue vista previa este marzo pero ahora es el predeterminado en Windows 11. 

SMB hace referencia al protocolo de uso compartido de archivos de red del bloque de mensajes del servidor (SMB). Windows y Windows Server vienen con el servidor SMB habilitado. NTLM se refiere a la Administrador de LAN de NT (NTLM) protocolo para autenticación cliente-servidor con, por ejemplo, inicios de sesión NTLM de Active Directory (AD). 

Un atacante en una red puede hacerse pasar por un "servidor amigo" para interceptar las credenciales NTLM transmitidas entre el cliente y el servidor. Otra opción es usar un nombre de usuario conocido y luego adivinar la contraseña con múltiples intentos de inicio de sesión. Sin la configuración predeterminada del limitador de velocidad, un atacante podría adivinar la contraseña en cuestión de días u horas, sin ser detectado, señala Pyle.   

La configuración del limitador de velocidad predeterminado de SMB está disponible en la compilación 11 de Windows 25206 Insider Preview al canal de desarrollo. Si bien el servidor SMB se ejecuta de forma predeterminada en Windows, no es accesible de forma predeterminada. Sin embargo, el limitador de velocidad del servidor SMB tendrá un propósito porque los administradores a menudo lo hacen accesible al crear un recurso compartido SMB del cliente que abre el firewall.  

“A partir de la compilación 25206, está activado de forma predeterminada y configurado en 2000 ms (2 segundos). Cualquier nombre de usuario o contraseña incorrectos enviados a SMB ahora causará un retraso de 2 segundos de forma predeterminada en todas las ediciones de Windows Insiders. Cuando se lanzó por primera vez a Windows Insiders, este mecanismo de protección estaba desactivado de forma predeterminada. Este cambio de comportamiento no se realizó en Windows Server Insiders, todavía está predeterminado en 0”, señala el equipo de Windows Insider. 

El nuevo valor predeterminado debería ayudar en situaciones en las que los usuarios o administradores configuren máquinas y redes de una manera que los exponga a ataques de adivinación de contraseña. 

“Si su organización no tiene un software de detección de intrusos o no establece una política de bloqueo de contraseña, un atacante podría adivinar la contraseña de un usuario en cuestión de días u horas. Un usuario consumidor que apaga su firewall y lleva su dispositivo a una red insegura tiene un problema similar”, explica Pyle.   

Microsoft está implementando gradualmente valores predeterminados más seguros en Windows 11. A principios de este año, introdujo una política de bloqueo de cuenta predeterminada para mitigar RDP y otros ataques de contraseña de fuerza bruta.

Y en la actualización de Windows 11 2022, Microsoft agregó varios valores predeterminados de seguridad más, como Smart App Control para permitir solo seguridad apps para ejecutarse y, de forma predeterminada, bloquear PowerShell, archivos LNK y scripts de Visual Basic de Internet. 

Pyle también ha publicado una demostración del limitador de velocidad SMB en acción.