Windows bloccherà gli attacchi brute force, per proteggere gli account Amministratore

Microsoft vuole alzare il livello di protezione degli account Amministratore, sempre più nel mirino dei cyber criminali per scalare i privilegi e ottenere da remoto accessi non autorizzati attraverso attacchi di tipo forza bruta. Ecco come funziona il “cerotto” per tutte le versioni di Windows

Microsoft ha rilasciato una security patch per tutte le versioni di Windows. Disponibile via Windows Update, alza il livello di sicurezza degli account Amministratore, oggi nel mirino dei cyber criminali per scalare i privilegi e ottenere da remoto accessi non autorizzati, attraverso attacchi di tipo forza bruta.

“La nuova patch di sicurezza (KB5020282) per tutte le versioni di Windows”, commenta Ruggiero Capuano, Security Analyst di Exprivia, “innalza il livello di sicurezza dell’autenticazione agli account Amministratore che, possedendo i più elevati privilegi per apportare modifiche al sistema, costituiscono una preda ambita per i cyber criminali”.

Tuttavia le policy Account Lockout non si applicano ancora agli Amministratori locali che rimangono a rischio di attacchi.

Ecco come funziona il nuovo sistema di sicurezza di Microsoft.

Microsoft è impegnata a limitare la superficie d’attacco di cui abusano gli attaccanti via ransomware: prima ha auto-bloccato le macro su Office nei scaricati e ha rafforzato la multi-factor authentication (MFA) in Azure AD.

Tuttavia gli account Amministratore erano nel mirino dei cyber criminali soprattutto perché “i tentativi di accesso non autorizzati possono essere effettuati da remoto, ad esempio usando RDP (Remote Desktop Protocol) come vettore d’attacco”, spiega Ruggiero Capuano. “Tale patch rende più difficile eseguire attacchi di tipo bruteforce, poiché applica delle policy che incidono sul numero di tentativi di accesso che è possibile effettuare in un determinato arco di tempo. Per abilitare le policy bisogna accedere all’Editor Criteri di gruppo locali facilmente accessibile dal Menu Start di Windows”.

“Successivamente” occorre “navigare in Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza\Criterio di blocco account“, continua Capuano.

“Il criterio Soglia di blocchi dell’account specifica dopo quale numero di tentativi di accesso falliti vengono bloccati ulteriori tentativi di accesso all’account”, sottolinea Capuano. “Il parametro Blocca account per specifica, invece, per quanti minuti non verranno accettati ulteriori tentativi di accesso una volta che è stato raggiunto il numero massimo consentito di tentativi di accesso falliti. Infine, il criterio Reimposta contatore blocco account dopo specifica dopo quanti minuti viene reimpostato il contatore che si occupa di tenere traccia del numero di tentativi di accesso falliti”.

“Gli amministratori IT”, spiega Gianmarco Troia, Security Analyst di Exprivia, possono configurare qualsiasi sistema Windows, che continua a ricevere aggiornamenti di sicurezza, per impedire automaticamente gli attacchi brute-force mirati agli account amministratori locali attraverso criteri di gruppo. Microsoft ha aggiunto che Windows non applica attualmente tali politiche di blocco, ma verranno abilitate come impostazione predefinita nelle ultime build di Windows 11″.

“Tale criterio di gruppo”, sottolinea ancora Troia, “sarà abilitato per impostazione predefinita su tutti i nuovi Pc che utilizzano Windows 11 22H2, o su tutti quelli in cui sono stati installati gli aggiornamenti cumulativi di Windows relativi ad ottobre 2022 prima della configurazione iniziale, quando il database SAM (Security Account Manager), che archivia le password degli utenti, viene creato per la prima volta su di una macchina”.

“Microsoft ha anche esplicitato che richiede, agli account amministratori locali, di utilizzare password complesse, ovvero che contengano almeno tre dei quattro tipi dei caratteri di base: minuscole, maiuscole, numeri e simboli. Tutto ciò è stato preso in considerazione come difesa ulteriore contro attacchi a forza bruta, che risultano piuttosto semplici da portare a termine nei sistemi con CPU e GPU moderne se le password non risultano di lunghezza e complessità elevata”, avverte l’analista di Exprivia.

“La patch, una volta installata”, avverte Ruggiero Capuano, “permette di abilitare le suddette policy che non vengono abilitate in automatico. L’unico caso in cui avviene l’abilitazione delle policy in automatico con i valori di default si verifica se l’installazione della patch ha preceduto la configurazione iniziale di Windows (di conseguenza prima dell’inizializzazione del database Security Account Manager, che si occupa di immagazzinare gli account utente e le relative policy). I valori di default è “10” per tutte e tre le policy”.

“Inoltre”, conclude Capuano, “la suddetta patch aumenta i requisiti di complessità della password che deve ora includere almeno 3 dei 4 caratteri di base (lettera minuscola, lettera maiuscola, numero, simbolo)”.

“Attualmente i sistemi Windows 11, nei quali il criterio è attivo, bloccano in modo automatico gli account utente (compresi gli account amministratore) per 10 minuti successivamente a 10 tentativi di accesso non andati a buon fine nell’arco di 10 minuti”, continua Gianmarco Troia.

“Il processo di forzatura bruta di un account”, continua il Security Analyst di Exprivia, “richiede semplicemente di indovinare le password attraverso strumenti automatizzati. In genere tale tecnica risulta piuttosto popolare tra gli attori delle minacce per violare i sistemi Windows tramite Remote Desktop Protocol (RDP). Tali attacchi hanno visto un cospicuo aumento dalla metà del 2016, in seguito all’aumento della popolarità dei mercati del dark web che vendono l’accesso RDP a reti ormai compromesse”.

“Gli amministratori che desiderano attivare questa difesa aggiuntiva contro gli attacchi a forza bruta, possono servirsi del criterio Consenti blocco account amministratore in Criteri Computer Locali\Configurazione Computer \Impostazioni Windows\Impostazioni di Sicurezza\Criteri account\Criteri blocco account, conclude Gianmarco Troia.

I tuoi contenuti, la tua privacy!

Su questo sito utilizziamo cookie tecnici necessari alla navigazione e funzionali all’erogazione del servizio. Utilizziamo i cookie anche per fornirti un’esperienza di navigazione sempre migliore, per facilitare le interazioni con le nostre funzionalità social e per consentirti di ricevere comunicazioni di marketing aderenti alle tue abitudini di navigazione e ai tuoi interessi.

Puoi esprimere il tuo consenso cliccando su ACCETTA TUTTI I COOKIE. Chiudendo questa informativa, continui senza accettare.

Potrai sempre gestire le tue preferenze accedendo al nostro COOKIE CENTER e ottenere maggiori informazioni sui cookie utilizzati, visitando la nostra COOKIE POLICY.

Tramite il nostro Cookie Center, l'utente ha la possibilità di selezionare/deselezionare le singole categorie di cookie che sono utilizzate sui siti web.

Per ottenere maggiori informazioni sui cookie utilizzati, è comunque possibile visitare la nostra COOKIE POLICY.

I cookie tecnici sono necessari al funzionamento del sito web perché abilitano funzioni per facilitare la navigazione dell’utente, che per esempio potrà accedere al proprio profilo senza dover eseguire ogni volta il login oppure potrà selezionare la lingua con cui desidera navigare il sito senza doverla impostare ogni volta.

I cookie analitici, che possono essere di prima o di terza parte, sono installati per collezionare informazioni sull’uso del sito web. In particolare, sono utili per analizzare statisticamente gli accessi o le visite al sito stesso e per consentire al titolare di migliorarne la struttura, le logiche di navigazione e i contenuti.

COOKIE DI PROFILAZIONE E SOCIAL PLUGIN

I cookie di profilazione e i social plugin, che possono essere di prima o di terza parte, servono a tracciare la navigazione dell’utente, analizzare il suo comportamento ai fini marketing e creare profili in merito ai suoi gusti, abitudini, scelte, etc. In questo modo è possibile ad esempio trasmettere messaggi pubblicitari mirati in relazione agli interessi dell’utente ed in linea con le preferenze da questi manifestate nella navigazione online.

ICT&Strategy S.r.l. – Gruppo DIGITAL360 - Codice fiscale 05710080960 - P.IVA 05710080960 - © 2022 ICT&Strategy. ALL RIGHTS RESERVED

Clicca sul pulsante per copiare il link RSS negli appunti.

Clicca sul pulsante per copiare il link RSS negli appunti.