Una nuova e preoccupante vulnerabilità di sicurezza è stata scoperta nel protocollo di autenticazione NTLM di Microsoft, mettendo potenzialmente a rischio milioni di utenti Windows. La falla, individuata dal team di sicurezza 0Patch, consente a malintenzionati di rubare le credenziali di accesso semplicemente visualizzando una cartella infetta, senza nemmeno la necessità di aprire direttamente un file al suo interno.
Il protocollo di autenticazione New Technology LAN Manager (NTLM), sviluppato da Microsoft e inizialmente rilasciato con Windows NT 3.1 nel 1993, rappresenta un'importante pietra miliare nella storia della sicurezza informatica. Grazie alla sua capacità di offrire una forma di sicurezza per le credenziali degli utenti in un'epoca dove le reti aziendali iniziavano a espandersi rapidamente, NTLM ha svolto un ruolo cruciale negli ambienti IT per decenni.
Nonostante la sua importanza storica, NTLM non è stato esente da critiche e problemi di sicurezza nel corso degli anni. L'emergere di protocolli più sofisticati e sicuri ha inevitabilmente portato a interrogativi sulla sua obsolescenza. Il protocollo Windows Negotiate, ad esempio, offre un metodo più robusto e versatile per l'autenticazione, integrando il meglio dei protocolli NTLM e Kerberos.
La scoperta della nuova vulnerabilità arriva a pochi mesi dalla decisione di Microsoft di abbandonare ufficialmente il supporto per NTLM, un protocollo di autenticazione risalente al 1993 e considerato ormai obsoleto. Nonostante Microsoft abbia consigliato agli utenti di passare al più sicuro protocollo Windows Negotiate, la vulnerabilità individuata da 0Patch colpisce un'ampia gamma di sistemi operativi, da Windows 7/Server 2008 R2 fino a Windows 11 versione 24H2 e Server 2022.
Mentre è probabile che le versioni più recenti di Windows, come Windows 11, ricevano una patch ufficiale da Microsoft nelle prossime settimane o mesi, gli utenti di versioni meno recenti, in particolare Windows 7, si trovano in una situazione di maggiore rischio. Anche Windows 10 potrebbe ricevere una patch, ma con la fine del supporto ufficiale prevista per ottobre 2025 e la necessità di un piano di supporto a pagamento per estenderlo ulteriormente, la possibilità che problemi come questo rimangano irrisolti nella versione finale del sistema operativo aumenta considerevolmente.
Fortunatamente, 0Patch ha già rilasciato una micropatch che risolve la vulnerabilità NTLM in questione. Questa patch, disponibile gratuitamente fino al rilascio di una soluzione ufficiale da parte di Microsoft, si concentra su una singola istruzione NTLM vulnerabile, riducendo al minimo il rischio di effetti collaterali indesiderati. È importante sottolineare che si tratta comunque di una patch non ufficiale, quindi gli utenti dovranno valutare attentamente i rischi e i benefici prima di installarla.
La scoperta di questa vulnerabilità NTLM rappresenta un ulteriore campanello d'allarme sulla sicurezza informatica e sull'importanza di mantenere i propri sistemi operativi aggiornati. La possibilità che le credenziali di rete vengano rubate semplicemente visualizzando una cartella in Esplora file è un rischio concreto che non può essere ignorato.
Si spera che Microsoft intervenga tempestivamente per risolvere questa e altre vulnerabilità con aggiornamenti ufficiali, garantendo la sicurezza di milioni di utenti Windows in tutto il mondo. Nel frattempo, gli utenti possono adottare alcune misure preventive, come evitare di aprire file o cartelle provenienti da fonti non attendibili e utilizzare software antivirus e antimalware aggiornati.
Oltre all'exploit NTLM, 0Patch ha individuato e segnalato a Microsoft altre vulnerabilità zero-day, tra cui tre non correlate a NTLM e tre relative a NTLM classificate dall'azienda americana come "won't fix", ovvero per le quali Microsoft non ha intenzione di rilasciare patch ufficiali.
Anche per queste vulnerabilità, 0Patch ha rilasciato micropatch gratuite che rimarranno disponibili fino a quando Microsoft non fornirà le proprie soluzioni, se mai previste. Questo evidenzia l'importanza di soluzioni alternative come 0Patch, in grado di garantire la sicurezza dei sistemi anche quando il supporto ufficiale del produttore viene meno.
La scoperta di questa grave vulnerabilità NTLM sottolinea l'importanza di un approccio proattivo alla sicurezza informatica. Gli utenti devono essere consapevoli dei rischi e adottare misure preventive per proteggere i propri dati e le proprie credenziali di accesso.