A Microsoft diz que a assinatura SMB será exigida por padrão para todas as conexões para se defender contra ataques de retransmissão NTLM, começando com a versão atual do Windows sendo lançada para Insiders no Canary Channel.

Nesses ataques, os agentes de ameaças forçam os dispositivos de rede (incluindo controladores de domínio) a se autenticar em servidores mal-intencionados sob o controle dos invasores para representá-los e elevar privilégios para obter controle total sobre os sistemas windows.

“Isso muda o comportamento legado, onde o Windows 10 e 11 exigiam assinatura SMB por padrão apenas ao conectar-se a compartilhamentos chamados SYSVOL e NETLOGON e onde os controladores de domínio do Active Directory exigiam assinatura SMB quando qualquer cliente estivesse conectado a eles”, disse a Microsoft.

Embora o bloqueio de ataques de retransmissão NTLM deva estar no topo da lista para qualquer equipe de segurança, os administradores do Windows podem ter problemas com essa abordagem, pois pode levar a velocidades de cópia SMB mais baixas.

“A assinatura SMB pode reduzir o desempenho das operações de cópia SMB. Você pode mitigar isso com mais núcleos físicos de CPU ou CPUs virtuais, bem como CPUs mais novas e mais rápidas”, alertou a Microsoft.