As compilações recentes do Windows 11 contam com uma política de bloqueio de conta habilitada por padrão, que bloqueará automaticamente as contas de usuário após 10 tentativas de entrada com falha por 10 minutos.
Windows 11 e o bloqueio de contas dos usuários
O processo de força bruta de conta geralmente requer adivinhar as senhas usando ferramentas automatizadas. Essa tática agora está bloqueada por padrão nas compilações mais recentes do Windows 11 (Insider Preview 22528.1000 e mais recente) depois de não inserir a senha correta 10 vezes seguidas.
De acordo com David Weston, vice-presidente de segurança corporativa e de sistema operacional da Microsoft, “esta técnica é muito comumente usada em Human Operated Ransomware e outros ataques – esse controle tornará o brute force muito mais difícil, o que é incrível!”.
Como Weston também disse, credenciais de força bruta é uma tática popular entre os agentes de ameaças para violar sistemas Windows por meio do Remote Desktop Protocol (RDP) quando eles não sabem as senhas das contas. O uso do Windows Remote Desktop Services para violar redes corporativas é tão prevalente entre os cibercriminosos que o FBI disse que o RDP é responsável por cerca de 70-80% de todas as violações de rede que levam a ataques de ransomware.
Bloqueando lentamente os vetores de ataque mais populares
A Microsoft anunciou recentemente o bloqueio automático de macros do Office em documentos baixados e a aplicação da autenticação multifator (MFA) no Azure AD. Dessa forma, a empresa está fechando lentamente todos os vetores de entrada usados ??por operadores de ransomware para violar redes Windows e sistemas.
A Política de Bloqueio de Conta também está disponível em sistemas Windows 10. No entanto, infelizmente, ele não está habilitado por padrão, permitindo que invasores invadam a força bruta em sistemas Windows com serviços expostos de Remote Desktop Protocol (RDP).
Esta é uma melhoria de segurança crucial, pois muitos servidores RDP, especialmente aqueles usados ??para ajudar os teletrabalhadores a acessarem os ativos corporativos, estão diretamente expostos à Internet, expondo a rede das organizações a ataques quando mal configuradas.
Ataques a servidores RDP
Os ataques direcionados aos serviços RDP tiveram um aumento acentuado desde pelo menos meados de 2016, começando com o aumento da popularidade dos mercados da dark web que vendem acesso RDP a redes comprometidas, de acordo com um relatório do FBI IC3 de 2018.
Uma menção notável é o UAS, o maior mercado de hackers para credenciais RDP roubadas em um ponto, que vazou nomes de login e senhas para 1,3 milhão de servidores Windows Remote Desktop atuais e historicamente comprometidos.
