Microsoft gaat op de vuist met NTLM-relaying. Daartoe verplicht het SMB-ondertekening voor alle Windows 11-toestellen.
In het Insider-kanaal rolt een Windows 11-functie uit die SMB-ondertekening verplicht. Het gaat om een beveiligingshandtekening die voorkomt dat hackers kunnen knoeien met een bericht tijdens de verzending.
NTML-geknoei
Het doel is het stoppen van NTLM-relay-aanvallen. NTLM is een set van beveiligingsprotocollen die Microsoft gebruikt om authenticatie mogelijk te maken. Er zijn alleen mogelijkheden om met dit protocol te knoeien. In NTLM-relaying manipuleert een aanvaller netwerktoestellen om authenticatieverzoeken van servers toe te staan. De aanvaller gebruikt een geïnfecteerde server om zichzelf meer rechten toe te kennen en vervolgens het volledige netwerktoestel kapen.
SMB (Server Message Block)-ondertekening maakt dit onmogelijk. Zodra een hacker knoeit met een bericht tijdens verzending, verraadt de beveiligingshandtekening dit namelijk. Het veiligheidsmechanisme bestaat al in de Windows-omgeving sinds Windows 98 en 2000. Microsoft sleutelden nu aan een verbeterde versie van de ondertekening omdat dataencryptie recent significante wijzigingen doormaakten.
Als SMB-ondertekening nog niet werd toegestaan door een derde partij of een aanvaller ontmaskert, verschijnt één van volgende foutmeldingen: “0xc000a000,” “-1073700864,” “STATUS_INVALID_SIGNATURE,” of “The cryptographic signature is invalid.” Als het aan de server van de derde partij ligt, zal je op het toestel ondersteuning voor SMB-ondertekening nog moeten activeren.
“SMB-ondertekening kan de prestaties van SMB-kopieerbewerkingen verminderen. U kunt dit verminderen met meer fysieke CPU-kernen of virtuele CPU’s, evenals nieuwere, snellere CPU’s”, waarschuwt Microsoft zijn Insiders.
3 uur geleden
