Der SMB-Server von Windows-Desktop und -Server stellt nach Nutzer-Authentifizierung unter anderem Dateien bereit. Da Angreifer standardmäßig beliebig oft und mit maximaler Verarbeitungsgeschwindigkeit Anmeldungen mit Nutzer-Namen und -Kennwort-Kombinationen durchprobieren konnten, hat Microsoft mit der aktuellen Windows-11-Insider-Vorschauversion ein Anmelde-Ratenlimit aktiviert. Dies soll derartige Brute-Force-Angriffe massiv ausbremsen.
Grundsätzlich zog die SMB authentication rate limiter genannte Funktion bereits im Frühjahr in die Windows-11- sowie Windows-Server-Insider-Vorschauversionen ein, erläutert Ned Pyle, Manager in Microsofts Windows-Server-Entwicklergruppe, in einem Techcommunity-Beitrag. In der aktuellen Windows-11-Insider-Preview Build 25206 haben die Entwickler die Funktion nun standardmäßig aktiviert und eine Sperre von zwei Sekunden nach einem erfolglosen Anmeldeversuch vorgesehen.
Pyle rechnet vor, dass durch die Zwangspause von zwei Sekunden nach einer erfolglosen NTLM-Authentifizerung ein Angreifer, der zuvor 300 Brute-Force-Versuche pro Sekunde unternommen hat und so auf 90.000 getestete Passwörter in fünf Minuten kommt, jetzt mindestens 50 Stunden für die gleiche Anzahl von Tests benötigt.
Das Powershell-Kommando Get-SmbServerConfiguration zeigt die aktuellen Konfigurationsparameter des SMB-Servers an. Die Funktion heißt dort InvalidAuthenticationDelayTimeInMs und zeigt die Verzögerungszeit in Millisekunden an. Der Parameter lässt sich mit dem Befehl Set-SmbServerConfiguration -InvalidAuthenticationDelayTimeInMs <ms>einstellen, wobei <ms> die Anzahl an Millisekunden angibt und ein Vielfaches von 100 sein muss.
Ob das NTLM-Authentifizierungslimit aktiv ist und mit welcher Verzögerung, lässt sich mit dem Powershell-Befehl Get-SmbServerConfiguration herausfinden.
(Bild: Screenshot)
In der Windows-Server-Vorschau ist die Funktion zwar vorhanden, aber noch nicht aktiv. Zuerst wolle man abwarten, ob sich Probleme oder Inkompatibilitäten aus der Funktion ergeben. Falls alles gut verläuft, wollen die Entwickler die Funktion dann auch auf anderen Systemen aktivieren, führt Pyle aus. Die Änderungen betreffen zudem nicht die Authentifizierung mittels Kerberos, da diese bereits vor einer Verbindung etwa mittels SMB-Protokoll stattfinde.
Pyle ergänzt, dass dies Teil der Weiterentwicklung der nächsten Generation von SMB und der Sicherheitserweiterungen sei, die mit SMB-über-QUIC in Windows 11 und Server 2022 Einzug hielt. Die Entwickler planten, im Rahmen einer Sicherheits-Modernisierungskampagne mit den nächsten paar Hauptversionen der Betriebssysteme viele SMB-Protokoll-Verhaltensweisen zu härten, auslaufen zu lassen oder gar zu entfernen – vergleichbar mit dem Entfernen von SMB1.
Quelle: heise
Grundsätzlich zog die SMB authentication rate limiter genannte Funktion bereits im Frühjahr in die Windows-11- sowie Windows-Server-Insider-Vorschauversionen ein, erläutert Ned Pyle, Manager in Microsofts Windows-Server-Entwicklergruppe, in einem Techcommunity-Beitrag. In der aktuellen Windows-11-Insider-Preview Build 25206 haben die Entwickler die Funktion nun standardmäßig aktiviert und eine Sperre von zwei Sekunden nach einem erfolglosen Anmeldeversuch vorgesehen.
Passwort in Stunden oder Tagen knackbar
Mit einem bekannten Nutzernamen könnten Angreifer lokale oder Active-Directory-NTLM-Logons mit üblichen Opensource-Tools senden, um das Passwort zu erraten – dutzende bis hunderte Anmeldeversuche in der Sekunde. Habe eine Organisation keine Einbruchserkennungssoftware (Intrusion Detection Software, IDS) oder Passwortsperre am Start, könnten Angreifer somit innerhalb von Tagen oder gar Stunden ein Passwort knacken. Wenn ein Anwender die Firewall deaktiviere und sein Gerät in ein unsicheres Netzwerk bringe, habe er ein ähnliches Problem.Pyle rechnet vor, dass durch die Zwangspause von zwei Sekunden nach einer erfolglosen NTLM-Authentifizerung ein Angreifer, der zuvor 300 Brute-Force-Versuche pro Sekunde unternommen hat und so auf 90.000 getestete Passwörter in fünf Minuten kommt, jetzt mindestens 50 Stunden für die gleiche Anzahl von Tests benötigt.
Das Powershell-Kommando Get-SmbServerConfiguration zeigt die aktuellen Konfigurationsparameter des SMB-Servers an. Die Funktion heißt dort InvalidAuthenticationDelayTimeInMs und zeigt die Verzögerungszeit in Millisekunden an. Der Parameter lässt sich mit dem Befehl Set-SmbServerConfiguration -InvalidAuthenticationDelayTimeInMs <ms>einstellen, wobei <ms> die Anzahl an Millisekunden angibt und ein Vielfaches von 100 sein muss.
Du musst angemeldet sein, um Bilder zu sehen.
Ob das NTLM-Authentifizierungslimit aktiv ist und mit welcher Verzögerung, lässt sich mit dem Powershell-Befehl Get-SmbServerConfiguration herausfinden.
(Bild: Screenshot)
In der Windows-Server-Vorschau ist die Funktion zwar vorhanden, aber noch nicht aktiv. Zuerst wolle man abwarten, ob sich Probleme oder Inkompatibilitäten aus der Funktion ergeben. Falls alles gut verläuft, wollen die Entwickler die Funktion dann auch auf anderen Systemen aktivieren, führt Pyle aus. Die Änderungen betreffen zudem nicht die Authentifizierung mittels Kerberos, da diese bereits vor einer Verbindung etwa mittels SMB-Protokoll stattfinde.
Pyle ergänzt, dass dies Teil der Weiterentwicklung der nächsten Generation von SMB und der Sicherheitserweiterungen sei, die mit SMB-über-QUIC in Windows 11 und Server 2022 Einzug hielt. Die Entwickler planten, im Rahmen einer Sicherheits-Modernisierungskampagne mit den nächsten paar Hauptversionen der Betriebssysteme viele SMB-Protokoll-Verhaltensweisen zu härten, auslaufen zu lassen oder gar zu entfernen – vergleichbar mit dem Entfernen von SMB1.
Quelle: heise