Tecnologie spiegate in parole semplici

Come proteggere le tue credenziali NTLM di Windows dalle minacce zero day

Windows Ntlm Credential Featured

I dispositivi Windows usano un metodo di accesso più datato chiamato NTLM, che è abilitato per impostazione predefinita. In caso di attacco malware, può esporre la tua password di sistema agli hacker. Questi possono utilizzare diversi tipi di attacchi man-in-the-middle per rubare i tuoi dettagli di accesso a Windows. Fortunatamente, puoi proteggere le tue credenziali NTLM di Windows dalle minacce zero day utilizzando alcuni semplici aggiustamenti nelle impostazioni NTLM.

Come le minacce NTLM di Windows rubano le tue password

NTLM (NT LAN Manager) è un metodo di autenticazione più vecchio ancora utilizzato su molti dispositivi Windows. Funziona trasformando la tua password in un codice (hash) per verificare la tua identità senza inviare la password attraverso la rete. Questo non è sicuro perché se il tuo PC viene compromesso, la tua password di accesso sarà visibile agli aggressori.

Recentemente, ad aprile 2025, il ricercatore di sicurezza Check Point ha scritto di un’esposizione dell’hash NTLM attraverso una vulnerabilità chiamata “CVE-2025-24054”. Secondo loro, si tratta di un cyber attacco in corso che colpisce utenti governativi e aziendali in Polonia e Romania. Gli attaccanti utilizzano diversi tipi di attacchi man-in-the-middle, tra cui pass-the-hash (PtH), rainbow table e attacchi di relay. Il loro obiettivo principale sono gli utenti privilegiati o gli amministratori.

Sebbene gli attacchi NTLM spesso colpiscano imprese e governi, anche gli utenti domestici sono vulnerabili. Basta interagire con un file malevolo per poter divulgare la tua password di sistema.

Microsoft ha rilasciato una patch di sicurezza per CVE-2025-24054. Quindi è sempre bene mantenere aggiornato il tuo sistema Windows per prevenire questi attacchi. A parte ciò, ci sono alcune altre cose che puoi fare.

1. Disabilitare l’autenticazione NTLM tramite PowerShell

Apri PowerShell in modalità amministratore e inserisci quanto segue. Ti verrà posta un’altra domanda se desideri modificare la configurazione del client SMB mirato. Per questo, clicca su A.

Set-SMBClientConfiguration -BlockNTLM $true

Modifica della configurazione del client SMB mirato in PowerShell per proteggersi dagli attacchi NTLM.

Il blocco di NTLM tramite SMB non influisce sui tuoi dispositivi Windows più recenti. Tuttavia, nel caso tu riscontri problemi con stampanti più vecchie, server NAS o altri dispositivi legacy, puoi sempre tornare indietro per consentire NTLM tramite SMB.

Set-SMBClientConfiguration -BlockNTLM $false

Il Server Message Block (SMB) è utilizzato per la condivisione di file e le connessioni di rete. È una delle connessioni più comuni utilizzate da PtH, attacchi di relay e altri attacchi man-in-the-middle. Bloccando NTLM tramite SMB, stai rimuovendo un importante punto d’ingresso per gli aggressori.

2. Disabilitare il protocollo NTLM più vecchio nell’Editor del Registro

Molte sessioni di Windows vengono al giorno d’oggi ospitate in “Kerberos” che è un protocollo molto sicuro poiché utilizza l’autenticazione crittografata basata su ticket. Tuttavia, non c’è bisogno di disabilitare completamente NTLM che ha molte applicazioni. Invece, passeremo al protocollo NTLMv2 più sicuro invece di NTLMv1.

Questo può essere fatto dall’Editor del Registro. Prima fai un backup del tuo registro. Successivamente, apri l’Editor del Registro in modalità amministratore e vai a:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Chiave di registro Lsa (Local Security Authority) e DWORD

Sotto la chiave di registro per “Local Security Authority” (Lsa), vai al valore del livello di autenticazione LAN manager di rete, “LmCompatibilityLevel”. Se non è presente, crea un D-WORD (32 bit) sotto Lsa come mostrato sopra.

Fai doppio clic su “LmCompatibilityLevel” per aprirlo. Troverai “0” come valore predefinito. Impostalo su “3”, “4” o “5” che imposterà il tuo dispositivo Windows per inviare solo risposte NTLMv2 e bloccare tutte le risposte legacy NTLMv1.

Impostazione di LmCompatibilityLevel sul valore 3, bloccando così tutti gli NTLMv1.

Dopo aver effettuato la modifica sopra, vai al percorso seguente:

COMPUTER\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters

Qui, troverai un valore D-WORD chiamato “RequireSecuritySignature” o “EnableSecuritySignature”. Il suo valore predefinito dovrebbe essere “1”. In caso contrario, modificalo in “1”. Una volta fatto, tutte le future connessioni SMB richiederanno la firma di sicurezza SMB. Questo previene il furto delle credenziali del tuo dispositivo.

3. Mantieni attivata la protezione cloud in Windows Security

Le modifiche al registro sopra sono innocue. Tuttavia, se non vuoi farle, puoi proteggere il tuo dispositivo attraverso una nuova funzionalità di Windows Security che previene tutte le minacce come gli attacchi di phishing che emergono online. Può essere accessibile da Protezione da virus e minacce -> Gestisci impostazioni -> Protezione fornita dal cloud.

Attivazione della protezione fornita dal cloud in Windows Security.

Correlato: avere accesso a una suite di protezione degli endpoint, come Microsoft Defender, ti offre ulteriore protezione contro le minacce a zero ora.

4. Altre Misure di Sicurezza

Microsoft ha raccomandato i seguenti meccanismi di sicurezza aggiuntivi per evitare di cadere vittima del furto di credenziali NTLM:

  • Attivazione dell’autenticazione multi-fattore: puoi migliorare la sicurezza della tua accesso basato su password e PIN attraverso meccanismi di autenticazione multi-fattore. Vai su Impostazioni -> Account -> Opzioni di accesso. Qui, troverai molte opzioni come Windows Hello e la creazione di una chiave di sicurezza fisica utilizzando dispositivi USB.
  • Evita di cliccare su collegamenti sospetti: il malware NTLM generalmente si diffonde attraverso collegamenti malevoli. Anche se possono essere bloccati da Windows Security, perché rischiare contro questi exploit remoti? Controlla la nostra guida dettagliata su come rilevare ed evitare messaggi malevoli.

Contenuto

  1. Come le minacce NTLM di Windows rubano le tue password
  2. 1. Disabilitare l'autenticazione NTLM tramite PowerShell
  3. 2. Disabilitare il protocollo NTLM più vecchio nell'Editor del Registro
  4. 3. Mantieni attivata la protezione cloud in Windows Security
  5. 4. Altre Misure di Sicurezza
Ello-dashboardprofile

Ello: Esplorando il Social Network Privato

Bitdefender Non Installato: 3 Soluzioni Facili Che Puoi Usare

Ulteriori informazioni sulle correzioni di Bitdefender

Google elimina Inbox e gli dà sei mesi di vita

rapporti-aspetto-16x9

Comprendere i Rapporti di Aspetto dei Video

Gestore di File con Tag per Organizzare i Tuoi File: Top 5

Correggi wake on LAN non funzionante

Wake On LAN Non Funziona su Windows [Risolto]

easycap-mac-mspacman-console

Utilizzare EasyCAP per acquisire VHS e console su Mac

Google testa una nuova funzionalità di Chrome per l'idoneità all'aggiornamento a Windows 11