Microsoft ha esbozado cambios radicales para priorizar la seguridad por encima de todo
Microsoft confirmó el lunes sus planes de dejar de usar NT LAN Manager (NTLM) en Windows 11 en la segunda mitad del año, ya que anunció una serie de nuevas medidas de seguridad para reforzar el sistema operativo de escritorio ampliamente utilizado.
"Dejar de usar NTLM ha sido una gran petición por parte de nuestra comunidad de seguridad, ya que fortalecerá la autenticación de los usuarios, y su desuso está previsto para la segunda mitad de 2024", dijo el gigante tecnológico.
El fabricante de Windows anunció originalmente en octubre de 2023 su decisión de abandonar NTLM en favor de Kerberos para la autenticación.
A pesar de la falta de soporte de NTLM para métodos criptográficos como AES o SHA-256, el protocolo también se ha vuelto susceptible a ataques de retransmisión, una técnica que ha sido ampliamente explotada por el actor APT28 vinculado a Rusia a través de fallas de día cero en Microsoft Outlook.
Otros cambios que llegarán a Windows 11 incluyen habilitar la protección de la Autoridad de Seguridad Local (LSA) de forma predeterminada para nuevos dispositivos de consumo y el uso de seguridad basada en virtualización (VBS) para proteger la tecnología Windows Hello.
Smart App Control, que protege a los usuarios contra la ejecución de aplicaciones que no son de confianza o no están firmadas, también se ha actualizado con un modelo de inteligencia artificial (IA) para determinar la seguridad de las aplicaciones y bloquear aquellas que son desconocidas o contienen malware.
Complementando Smart App Control hay una nueva solución de extremo a extremo llamada Trusted Signing que permite a los desarrolladores firmar sus aplicaciones y simplifica todo el proceso de firma de certificados.
Algunas de las otras notables mejoras de seguridad son las siguientes:
• Aislamiento de aplicaciones Win32, que está diseñado para contener daños en caso de que la aplicación se vea comprometida mediante la creación de un límite de seguridad entre la aplicación y el sistema operativo.
• Limite el abuso de los privilegios de administrador solicitando la aprobación explícita del usuario
• Enclaves VBS para que desarrolladores externos creen entornos de ejecución confiables
Microsoft dijo además que está creando el Modo de impresión protegida de Windows (WPP), que presentó en diciembre de 2023 como una forma de contrarrestar los riesgos que plantea el proceso de cola de impresión privilegiado y asegurar la pila de impresión, el modo de impresión predeterminado en el futuro.
Al hacerlo, la idea es ejecutar Print Spooler como un servicio restringido y limitar drásticamente su atractivo como vía para que los actores de amenazas obtengan permisos elevados en un sistema Windows comprometido.
Redmond también dijo que ya no confiará en los certificados de autenticación de servidor TLS (seguridad de la capa de transporte) con claves RSA de menos de 2048 bits debido a "avances en la potencia informática y el criptoanálisis".
Para cerrar la lista de características de seguridad está el Sistema de nombres de dominio Zero Trust (ZTDNS), que tiene como objetivo ayudar a los clientes comerciales a bloquear Windows dentro de sus redes al restringir de forma nativa los dispositivos Windows para que se conecten solo a destinos de red aprobados por nombre de dominio.
Estas mejoras también siguen a las críticas a las prácticas de seguridad de Microsoft que permitieron a actores estatales de China y Rusia violar su entorno Exchange Online, con un reciente informe de la Junta de Revisión de Seguridad Cibernética de EE. UU. (CSRB) que señala que la cultura de seguridad de la compañía requiere una revisión.
En respuesta, Microsoft ha esbozado cambios radicales para priorizar la seguridad por encima de todo como parte de su Iniciativa Futuro Seguro (SFI) y responsabilizar directamente a los altos directivos del cumplimiento de los objetivos de ciberseguridad.
Google, por su parte, dijo que el informe de la CSRB "subraya una necesidad urgente y esperada desde hace mucho tiempo de adoptar un nuevo enfoque de seguridad", y pidió a los gobiernos que adquieran sistemas y productos que son seguros por diseño, hacer cumplir las recertificaciones de seguridad para los productos que sufren incidentes de seguridad importantes y ser conscientes de los riesgos que plantea el monocultivo.
"Usar el mismo proveedor para sistemas operativos, correo electrónico, software de oficina y herramientas de seguridad [...] aumenta el riesgo de que una sola infracción socave todo un ecosistema", dijo la compañía.
"Los gobiernos deberían adoptar una estrategia de múltiples proveedores y desarrollar y promover estándares abiertos para garantizar la interoperabilidad, facilitando a las organizaciones reemplazar productos inseguros por aquellos que sean más resistentes a los ataques".
