Microsoft ha rilasciato una security patch per tutte le versioni di Windows. Disponibile via Windows Update, alza il livello di sicurezza degli account Amministratore, oggi nel mirino dei cyber criminali per scalare i privilegi e ottenere da remoto accessi non autorizzati, attraverso attacchi di tipo forza bruta.
“La nuova patch di sicurezza (KB5020282) per tutte le versioni di Windows”, commenta Ruggiero Capuano, Security Analyst di Exprivia, “innalza il livello di sicurezza dell’autenticazione agli account Amministratore che, possedendo i più elevati privilegi per apportare modifiche al sistema, costituiscono una preda ambita per i cyber criminali”.
Tuttavia le policy Account Lockout non si applicano ancora agli Amministratori locali che rimangono a rischio di attacchi.
Ecco come funziona il nuovo sistema di sicurezza di Microsoft.
Indice degli argomenti
La patch per Windows blinda gli account Amministratore
Microsoft è impegnata a limitare la superficie d’attacco di cui abusano gli attaccanti via ransomware: prima ha auto-bloccato le macro su Office nei scaricati e ha rafforzato la multi-factor authentication (MFA) in Azure AD.
Tuttavia gli account Amministratore erano nel mirino dei cyber criminali soprattutto perché “i tentativi di accesso non autorizzati possono essere effettuati da remoto, ad esempio usando RDP (Remote Desktop Protocol) come vettore d’attacco”, spiega Ruggiero Capuano. “Tale patch rende più difficile eseguire attacchi di tipo bruteforce, poiché applica delle policy che incidono sul numero di tentativi di accesso che è possibile effettuare in un determinato arco di tempo. Per abilitare le policy bisogna accedere all’Editor Criteri di gruppo locali facilmente accessibile dal Menu Start di Windows”.
“Successivamente” occorre “navigare in Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza\Criterio di blocco account“, continua Capuano.
“Il criterio Soglia di blocchi dell’account specifica dopo quale numero di tentativi di accesso falliti vengono bloccati ulteriori tentativi di accesso all’account”, sottolinea Capuano. “Il parametro Blocca account per specifica, invece, per quanti minuti non verranno accettati ulteriori tentativi di accesso una volta che è stato raggiunto il numero massimo consentito di tentativi di accesso falliti. Infine, il criterio Reimposta contatore blocco account dopo specifica dopo quanti minuti viene reimpostato il contatore che si occupa di tenere traccia del numero di tentativi di accesso falliti”.
Amministratori locali: i consigli di Microsoft
“Gli amministratori IT”, spiega Gianmarco Troia, Security Analyst di Exprivia, possono configurare qualsiasi sistema Windows, che continua a ricevere aggiornamenti di sicurezza, per impedire automaticamente gli attacchi brute-force mirati agli account amministratori locali attraverso criteri di gruppo. Microsoft ha aggiunto che Windows non applica attualmente tali politiche di blocco, ma verranno abilitate come impostazione predefinita nelle ultime build di Windows 11″.
“Tale criterio di gruppo”, sottolinea ancora Troia, “sarà abilitato per impostazione predefinita su tutti i nuovi Pc che utilizzano Windows 11 22H2, o su tutti quelli in cui sono stati installati gli aggiornamenti cumulativi di Windows relativi ad ottobre 2022 prima della configurazione iniziale, quando il database SAM (Security Account Manager), che archivia le password degli utenti, viene creato per la prima volta su di una macchina”.
“Microsoft ha anche esplicitato che richiede, agli account amministratori locali, di utilizzare password complesse, ovvero che contengano almeno tre dei quattro tipi dei caratteri di base: minuscole, maiuscole, numeri e simboli. Tutto ciò è stato preso in considerazione come difesa ulteriore contro attacchi a forza bruta, che risultano piuttosto semplici da portare a termine nei sistemi con CPU e GPU moderne se le password non risultano di lunghezza e complessità elevata”, avverte l’analista di Exprivia.
Come funziona la patch per gli account Amministratore
“La patch, una volta installata”, avverte Ruggiero Capuano, “permette di abilitare le suddette policy che non vengono abilitate in automatico. L’unico caso in cui avviene l’abilitazione delle policy in automatico con i valori di default si verifica se l’installazione della patch ha preceduto la configurazione iniziale di Windows (di conseguenza prima dell’inizializzazione del database Security Account Manager, che si occupa di immagazzinare gli account utente e le relative policy). I valori di default è “10” per tutte e tre le policy”.
“Inoltre”, conclude Capuano, “la suddetta patch aumenta i requisiti di complessità della password che deve ora includere almeno 3 dei 4 caratteri di base (lettera minuscola, lettera maiuscola, numero, simbolo)”.
I dettagli: cosa previene gli attacchi a forza bruta
“Attualmente i sistemi Windows 11, nei quali il criterio è attivo, bloccano in modo automatico gli account utente (compresi gli account amministratore) per 10 minuti successivamente a 10 tentativi di accesso non andati a buon fine nell’arco di 10 minuti”, continua Gianmarco Troia.
“Il processo di forzatura bruta di un account”, continua il Security Analyst di Exprivia, “richiede semplicemente di indovinare le password attraverso strumenti automatizzati. In genere tale tecnica risulta piuttosto popolare tra gli attori delle minacce per violare i sistemi Windows tramite Remote Desktop Protocol (RDP). Tali attacchi hanno visto un cospicuo aumento dalla metà del 2016, in seguito all’aumento della popolarità dei mercati del dark web che vendono l’accesso RDP a reti ormai compromesse”.
“Gli amministratori che desiderano attivare questa difesa aggiuntiva contro gli attacchi a forza bruta, possono servirsi del criterio Consenti blocco account amministratore in Criteri Computer
Locali\Configurazione Computer \Impostazioni Windows\Impostazioni di Sicurezza\Criteri account\Criteri blocco account, conclude Gianmarco Troia.
