Che cos'è NTLM? Rischi di sicurezza di Windows NTLM e guida alla migrazione

Che cos'è NTLM?

NTLM (NT LAN Manager) è un protocollo di autenticazione Windows che convalida gli utenti tramite autenticazione challenge-response senza trasmettere le password sulle reti. Secondo la documentazione ufficiale Microsoft, NTLM comprende più versioni di protocollo tra cui il legacy LAN Manager, NTLMv1 e l'attuale standard NTLMv2. Sebbene Kerberos abbia sostituito NTLM come  metodo di autenticazione preferito per gli ambienti Active Directory oltre vent'anni fa, NTLM rimane attivo nelle reti aziendali per l'autenticazione nei gruppi di lavoro, accessi locali su controller non di dominio e scenari in cui la negoziazione Kerberos fallisce.

Il processo challenge-response funziona tramite uno scambio semplice. Quando ti connetti a una risorsa di rete, il server invia al tuo client una challenge di 16 byte. Il tuo sistema cifra questa challenge utilizzando l'hash della tua password e invia la risposta al server, che convalida queste credenziali rispetto al database Security Accounts Manager o Active Directory. L'autenticazione si completa trasmettendo solo hash cifrati, mai la password reale. Questa scelta progettuale, che tratta gli hash come prova di identità, ha creato le vulnerabilità di sicurezza oggi sfruttate dagli attaccanti.

Perché NTLM è un rischio per la sicurezza

Le statistiche sul furto di credenziali mostrano che il 31% di tutte le violazioni nell'ultimo decennio ha coinvolto il furto di credenziali, secondo il  Verizon 2025 Data Breach Investigations Report. Gli attacchi NTLM rappresentano una componente significativa di questa minaccia persistente perché il protocollo memorizza hash di password che gli attaccanti possono rubare e riutilizzare senza mai decifrare la password reale.

Gli attaccanti estraggono gli hash NTLM dalla memoria o dal traffico di rete, quindi si autenticano su file server e controller di dominio passando direttamente gli hash rubati a Windows. I tuoi controlli di sicurezza vedono un'autenticazione NTLM legittima mentre l'attacco si svolge in modo invisibile.

CISA ha aggiunto CVE-2025-24054, una vulnerabilità di divulgazione di hash NTLM di Windows, al suo  catalogo delle vulnerabilità note sfruttate a marzo 2025 dopo confermata attività di sfruttamento. Sebbene Microsoft abbia corretto la vulnerabilità a marzo 2025, la superficie di attacco persiste perché la dismissione di NTLM richiede una migrazione coordinata tra infrastruttura di identità, applicazioni e servizi di rete. Questa tempistica è particolarmente importante considerando la scadenza di ottobre 2026 di Microsoft per l'applicazione automatica di NTLMv1.

Come funziona l'autenticazione NTLM

L'architettura di NTLM spiega perché gli attaccanti hanno successo contro il tuo ambiente e perché la migrazione presenta notevole complessità.

• Authentication package e memorizzazione degli hash: Il pacchetto di autenticazione MSV1_0 gestisce tutta l'autenticazione NTLM tramite il componente Msv1_0.dll. Compromettendo la memoria LSASS, gli attaccanti estraggono direttamente gli hash delle password. Il tuo ambiente memorizza due tipi di hash: l'hash LM utilizza una cifratura DES compromessa senza distinzione tra maiuscole e minuscole, consentendo attacchi rainbow table banali, mentre l'hash NT utilizza MD4 con distinzione tra maiuscole e minuscole. Entrambi risiedono in SAM o Active Directory e funzionano come credenziali di autenticazione: non è necessario decifrare la password.
• Meccanismo challenge-response: Il server genera una challenge casuale di 16 byte, la tua workstation la cifra usando l'hash della tua password e il server valida la risposta tramite l'API LsaLogonUser. NTLMv2 utilizza un calcolo della risposta basato su HMAC-MD5 con dati casuali aggiuntivi, offrendo una protezione crittografica più forte. Entrambi i protocolli condividono una vulnerabilità fondamentale: gli hash delle password funzionano come credenziali di autenticazione (MITRE ATT&CK T1550.002).
• Livelli di autenticazione LAN Manager: La chiave di registro HKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel determina quali versioni NTLM i tuoi sistemi accettano. La maggior parte delle aziende utilizza il livello 3 (Invia solo risposta NTLMv2) rispetto al livello 5 raccomandato da NIST (rifiuta completamente LM e NTLM), creando lacune sfruttabili.

Questi componenti architetturali, in particolare la memorizzazione degli hash nella memoria LSASS e il meccanismo di autenticazione pass-through, offrono agli attaccanti molteplici opportunità di intercettare o estrarre credenziali.

Strumenti e tecniche di attacco NTLM

Gli attaccanti utilizzano strumenti specializzati per sfruttare le vulnerabilità NTLM per il furto di credenziali e  movimento laterale. Comprendere questi strumenti aiuta i difensori a riconoscere i pattern di attacco e implementare i controlli appropriati.

• Strumenti di estrazione credenziali mirano alla memoria LSASS dove Windows memorizza gli hash delle password durante le sessioni attive.  Mimikatz rimane lo strumento più noto, utilizzando tecniche come sekurlsa::logonpasswords per estrarre le credenziali dalla memoria. Gli attaccanti utilizzano anche metodi nativi di Windows, inclusi i comandi reg save per esportare i file di registro SAM e SYSTEM per l'estrazione offline degli hash. Strumenti di analisi forense della memoria come WCE (Windows Credentials Editor) offrono ulteriori capacità di estrazione che eludono alcune soluzioni di rilevamento endpoint.
• Framework Pass-the-Hash consentono l'autenticazione utilizzando hash rubati senza necessità di decifrare la password. Il toolkit Python-based di Impacket include i moduli psexec.py e wmiexec.py che accettano direttamente hash NTLM per l'esecuzione remota di comandi su sistemi Windows. CrackMapExec automatizza gli attacchi Pass-the-Hash su più target contemporaneamente, consentendo un rapido movimento laterale nelle reti aziendali e registrando le autenticazioni riuscite per ulteriori sfruttamenti. Questi framework integrano capacità di hash spraying per identificare i sistemi che accettano credenziali compromesse.
• Toolkit di relay NTLM intercettano e inoltrano richieste di autenticazione a sistemi target non autorizzati. Responder cattura l'autenticazione NTLM avvelenando le risposte di risoluzione dei nomi LLMNR, NBT-NS e MDNS sui segmenti di rete locali. Quando i sistemi tentano di risolvere i nomi host, Responder risponde con indirizzi IP controllati dall'attaccante, catturando i tentativi di autenticazione. Il modulo ntlmrelayx di Impacket inoltra l'autenticazione catturata a servizi SMB, LDAP, HTTP e MSSQL, consentendo l'escalation dei privilegi quando Extended Protection for Authentication non è abilitato sui servizi critici.
• Tecniche di coercizione forzano i sistemi target ad avviare l'autenticazione verso server controllati dall'attaccante senza interazione dell'utente. PetitPotam sfrutta l'interfaccia MS-EFSRPC per costringere i controller di dominio ad autenticarsi verso destinazioni arbitrarie, consentendo la cattura diretta delle credenziali o attacchi di relay contro Active Directory Certificate Services. PrinterBug (noto anche come SpoolSample) abusa dell'interfaccia remota del servizio Print Spooler per ottenere autenticazione coatta simile. Queste tecniche aggirano completamente i requisiti di phishing tradizionali, consentendo il furto di credenziali da sistemi che non interagiscono mai con contenuti dannosi.

Il rilevamento difensivo si concentra sul monitoraggio delle firme degli strumenti in memoria, pattern anomali di accesso a LSASS, flussi di autenticazione inattesi e traffico di rete che indica tentativi di relay. Tuttavia, il solo rilevamento non può risolvere le debolezze di protocollo che rendono possibili questi attacchi.

Vulnerabilità NTLM

Le debolezze architetturali del protocollo creano lacune di sicurezza persistenti che i controlli lato difensore da soli non possono colmare senza protezioni complementari a livello di rete e identità.

• Attacchi Pass-the-Hash (MITRE ATT&CK T1550.002) sfruttano la dipendenza di NTLM dagli hash delle password come credenziali di autenticazione. Una volta che gli attaccanti estraggono il tuo hash dalla memoria LSASS, dal database SAM o da acquisizioni di rete, si autenticano come te senza conoscere la password. Credential Guard offre una protezione parziale tramite sicurezza basata su virtualizzazione su Windows 10 Enterprise o Windows 11 con hardware TPM 2.0. Le protezioni a livello di rete come SMB signing, LDAP signing ed Extended Protection for Authentication bloccano gli attacchi di relay NTLM.
• Attacchi di relay NTLM manipolano il meccanismo challenge-response intercettando l'autenticazione tra client e server. L'attaccante riceve il tuo tentativo di autenticazione, lo inoltra a un sistema target a sua scelta e ottiene accesso non autorizzato utilizzando le tue credenziali in tempo reale. Extended Protection for Authentication blocca gli attacchi di relay tramite channel binding, ma richiede configurazione esplicita su Exchange Server, Active Directory Certificate Services e LDAP. La maggior parte delle aziende esegue questi servizi critici senza EPA abilitato perché Microsoft storicamente ha fornito i prodotti con EPA disabilitato di default.
• Debolezze crittografiche nelle versioni legacy persistono negli ambienti di produzione. Gli hash LM utilizzano la cifratura DES, un algoritmo crittograficamente compromesso, convertendo le password in maiuscolo e suddividendole in blocchi da 7 caratteri. NTLMv1 migliora la forza crittografica ma rimane vulnerabile ad attacchi brute-force offline. Solo NTLMv2 offre  protezioni crittografiche moderne, ma molte organizzazioni gestiscono ambienti misti che accettano NTLMv1 per compatibilità retroattiva.

La scadenza di enforcement di ottobre 2026 crea un rischio operativo per le organizzazioni che hanno ritardato la migrazione. Microsoft ha stabilito una timeline in tre fasi:

1. Fase 1 (dicembre 2024): Avvio della dismissione
2. Fase 2 (settembre 2025): Abilitazione della modalità audit di default
3. Fase 3 (ottobre 2026): Transizione automatica della chiave di registro BlockNtlmv1SSO in modalità enforcement senza intervento dell'amministratore

Le organizzazioni che non hanno avviato la pianificazione della migrazione affrontano un rischio significativo di interruzioni di autenticazione all'inizio dell'enforcement.

Come migrare da NTLM

La migrazione aziendale da NTLM richiede un'esecuzione strutturata e graduale con il supporto della direzione. L'implementazione completa richiede tipicamente 18-22 mesi a seconda della complessità dell'ambiente e delle dipendenze da applicazioni legacy.

Fase 1: Scoperta e audit (mesi 1-3)

Abilita l'audit completo di NTLM su tutti i controller di dominio e i member server prima di tentare qualsiasi migrazione o policy di blocco. Configura Network security: Restrict NTLM: Audit NTLM authentication in this domain su "Audit all" invece che su blocco. Windows 11 24H2 e Windows Server 2025 offrono eventi di audit avanzati che acquisiscono nomi di processo, codici motivo, informazioni su nome utente e dominio e versione NTLM. Raccogli i log di audit per almeno 30-90 giorni per catturare servizi periodici, attività pianificate e processi mensili. Analizza i log per costruire un inventario completo delle dipendenze categorizzato per tipo di sistema, applicazione e complessità di remediation.

Fase 2: Pianificazione della remediation (mesi 4-6)

Categorizza le dipendenze NTLM per approccio e complessità di remediation. I sistemi in workgroup potrebbero richiedere join al dominio, registrazione Azure AD o eccezione continuativa con segmentazione di rete. Le applicazioni legacy necessitano di coinvolgimento del fornitore per le tempistiche di supporto Kerberos o pianificazione della sostituzione se il fornitore non offre percorsi di migrazione. I dispositivi di rete con limitazioni firmware richiedono pianificazione di upgrade, acquisto di sostituzioni o strategie di segmentazione di rete che isolano il traffico NTLM.

Fase 3: Deployment pilota Kerberos (mesi 7-9)

Seleziona unità organizzative a basso rischio con minime dipendenze legacy per la prima enforcement Kerberos-only. Configura Network security: Restrict NTLM: NTLM authentication in this domain su "Deny all" solo nell'ambito pilota. Monitora attentamente i fallimenti di autenticazione e i problemi applicativi, documentando tutte le procedure di remediation come riferimento per il rollout in produzione. Valida che i sistemi pilota mantengano piena funzionalità senza autenticazione NTLM.

Fase 4: Rollout in produzione (mesi 10-18)

Espandi l'enforcement Kerberos in modo sistematico per unità organizzativa in base alle lezioni apprese dal pilota. Dai priorità agli ambienti ad alta sicurezza contenenti dati sensibili e sistemi con accessi privilegiati. Mantieni elenchi documentati di eccezioni per dipendenze legacy con controlli compensativi tra cui segmentazione di rete, monitoraggio avanzato e ambito di accesso ristretto. Implementa la segmentazione di rete per i sistemi che richiedono ancora accesso NTLM per limitare l'esposizione al movimento laterale.

Fase 5: Enforcement (mesi 19-22)

Abilita BlockNtlmv1SSO prima della scadenza di enforcement automatica di ottobre 2026 di Microsoft. Valida la migrazione completa tramite revisione approfondita dei log di audit che confermino zero autenticazioni NTLM nell'ambito di produzione. Documenta le eccezioni residue con accettazione formale del rischio e controlli compensativi per compliance e audit.

Durante la pianificazione della migrazione, le organizzazioni devono anche affrontare le lacune difensive immediate. Molti team di sicurezza lasciano involontariamente i propri ambienti esposti a causa di protezioni incomplete o mal configurate.

Errori comuni nella difesa NTLM

Non implementare difese NTLM stratificate crea lacune di sicurezza sfruttabili.

1. Abilitare la firma SMB senza renderla obbligatoria. Configuri la Group Policy per abilitare l'impostazione "Microsoft network server: Digitally sign communications" sui file server ma trascuri il requisito complementare lato client. L'audit di configurazione risulta conforme sui server, ma il penetration tester dimostra attacchi di relay NTLM riusciti perché "enable" consente il downgrade a connessioni non firmate quando i client non richiedono la firma. Entrambe le configurazioni devono essere impostate su "Enabled" contemporaneamente: lato server (Microsoft network server: Digitally sign communications (always)) E lato client (Microsoft network client: Digitally sign communications (always)). Secondo le  linee guida Microsoft sulla sicurezza SMB, configurare solo i server crea una lacuna sfruttabile in cui gli attaccanti fanno relay tramite client mal configurati.
2. Presumere che Credential Guard blocchi gli attacchi di relay NTLM. Distribuisci Credential Guard su workstation amministrative di alto valore e controller di dominio, quindi presenti la copertura Credential Guard alla direzione come protezione completa dagli attacchi NTLM. Un attaccante compromette il tuo ambiente tramite relay NTLM contro un servizio LDAP non protetto su un controller di dominio. Credential Guard protegge le credenziali a riposo nella memoria LSASS tramite sicurezza basata su virtualizzazione, prevenendo il furto di credenziali da sistemi compromessi, ma non offre alcuna protezione contro gli attacchi di relay NTLM a livello di rete. Le organizzazioni devono implementare sia la protezione delle credenziali endpoint sia la prevenzione dei relay a livello di rete contemporaneamente.
3. Implementare EPA in modo incoerente sui servizi critici. Il tuo team di sicurezza ha abilitato Extended Protection for Authentication su Active Directory Certificate Services dopo PetitPotam nel 2021, ma gli attaccanti fanno relay dell'autenticazione NTLM sul tuo servizio LDAP, che funziona senza EPA abilitato. EPA deve essere configurato su tutti i servizi compatibili NTLM inclusi AD CS, LDAP, Exchange Server e qualsiasi applicazione personalizzata che utilizza Windows Integrated Authentication.

Evitare questi errori richiede un approccio sistematico alla difesa NTLM che affronti simultaneamente tutti i vettori di attacco.

Best practice per la difesa NTLM

Blocca il movimento laterale basato su credenziali tramite controlli stratificati che affrontano le debolezze del protocollo a livello di rete, endpoint e identità.

• Implementa subito il logging completo degli audit NTLM. Abilita le policy di audit NTLM su tutti i controller di dominio e member server prima di tentare qualsiasi migrazione o policy di blocco. Configura Network security: Restrict NTLM: Audit NTLM authentication in this domain su "Audit all" invece che su blocco. Raccogli i log di audit per almeno 30-90 giorni per catturare servizi periodici e attività pianificate, quindi analizza i log per costruire un inventario completo delle dipendenze.
• Applica la firma SMB universalmente nel tuo ambiente. Configura i requisiti duali di Group Policy in Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options. Imposta sia Microsoft network server: Digitally sign communications (always) sia Microsoft network client: Digitally sign communications (always) su Enabled. La doppia configurazione blocca gli attacchi di downgrade in cui client e server utilizzano impostazioni di firma diverse.
• Configura Extended Protection for Authentication su tutti i servizi critici. EPA aggiunge il channel binding all'autenticazione NTLM, prevenendo il relay delle credenziali vincolando l'autenticazione alla sessione TLS. La priorità di implementazione EPA dovrebbe concentrarsi su Active Directory Certificate Services, LDAP su tutti i controller di dominio ed Exchange Server. Windows Server 2025 abilita EPA di default per questi servizi.
• Distribuisci Credential Guard sui sistemi di alto valore. Implementa Credential Guard su controller di dominio, workstation amministrative e sistemi che elaborano dati sensibili. Credential Guard richiede TPM 2.0, UEFI Secure Boot, estensioni di virtualizzazione del processore e supporto Hyper-V.
• Richiedi la firma LDAP su tutti i controller di dominio. Configura Domain controller: LDAP server signing requirements su "Require signing" tramite Group Policy applicata all'unità organizzativa Domain Controllers. Windows Server 2025 aggiunge il channel binding LDAP di default.
• Implementa la correlazione degli eventi per l'identificazione Pass-the-Hash. Configura il tuo  SIEM per correlare gli ID evento di sicurezza Windows su più controller di dominio e member server. Genera alert su Event ID 4624 (logon riuscito) con Logon Type 3 (logon di rete) e authentication package "NTLM" per account privilegiati SENZA corrispondente Event ID 4624 Logon Type 2 (logon interattivo) nelle 10 ore precedenti dallo stesso IP sorgente.

Questi controlli manuali forniscono una protezione essenziale, ma gli attacchi basati su credenziali spesso si muovono più velocemente dei cicli di indagine umani. L'AI comportamentale può identificare e bloccare l'attività Pass-the-Hash in tempo reale.

Blocca gli attacchi NTLM con SentinelOne

La tua latenza di risposta determina se blocchi il movimento laterale o indaghi sulle conseguenze di una violazione. SentinelOne rileva gli attacchi basati su credenziali tramite AI comportamentale che riconosce le tecniche Pass-the-Hash classificate come MITRE ATT&CK T1550.002.

Singularity™ Identity offre inoltre visibilità end-to-end negli ambienti ibridi per rilevare esposizioni e bloccare l'abuso di credenziali. Riduce i rischi di identità e offre protezione in tempo reale. Puoi correlare attività endpoint e di identità per un rilevamento contestuale e una triage più rapida. Elimina anche i punti ciechi tra ambienti isolati e può rafforzare Active Directory e provider di identità cloud, inclusi Okta, Ping, SecureAuth, Duo ed Entra ID. Può raccogliere informazioni dai tentativi di attacco per bloccare compromissioni ripetute e prevenire l'escalation dei privilegi.

SentinelOne è riconosciuta come Gartner Magic Quadrant Leader per le piattaforme di protezione endpoint per cinque anni consecutivi. Nelle valutazioni MITRE ATT&CK, SentinelOne ha generato solo 12 alert mentre un concorrente leader ne ha generati 178.000, pari all'88% in meno. Questa riduzione del rumore consolida migliaia di eventi di sicurezza in singoli incidenti azionabili, trasformando l'indagine sugli abusi di credenziali dal dover esaminare migliaia di eventi di autenticazione all'analisi del contesto forense completo in pochi secondi.

La Singularity Platform offre  funzionalità XDR unificate tramite un unico agente e console, consolidando la sicurezza endpoint, cloud e identità in un unico data lake. La tecnologia brevettata Storyline monitora, traccia e contestualizza automaticamente i dati degli eventi in tutto l'ambiente aziendale per ricostruire gli attacchi in tempo reale.

Purple AI accelera le indagini sulle minacce tramite query in linguaggio naturale che correlano gli eventi di autenticazione nell'ambiente. Con una threat hunting fino all'80% più veloce secondo i primi utilizzatori, gli analisti di sicurezza possono cercare nei log senza conoscere linguaggi di query e ricevere il contesto completo dell'attacco con i prossimi passi suggeriti.

Richiedi una demo per vedere come l'AI comportamentale di SentinelOne blocca gli attacchi basati su credenziali prima dell'escalation dei privilegi.

Punti chiave

Gli attacchi NTLM sfruttano il furto di credenziali per abilitare il movimento laterale prima che la risposta tradizionale possa fermarli. La scadenza di enforcement di ottobre 2026 richiede una pianificazione immediata della migrazione: Microsoft applicherà automaticamente il blocco NTLMv1 modificando la chiave di registro BlockNtlmv1SSO da audit mode a enforce mode senza intervento dell'amministratore.

Una difesa efficace richiede controlli stratificati e complementari: firma SMB su server e client, Extended Protection for Authentication sui servizi critici inclusi AD CS, LDAP ed Exchange Server, Credential Guard per la protezione delle credenziali endpoint (notando che protegge le credenziali a riposo ma NON blocca gli attacchi di relay di rete) e logging di audit completo per identificare le dipendenze prima dell'enforcement.

L'AI comportamentale che correla i pattern di autenticazione tra endpoint e infrastruttura di identità rileva l'abuso di credenziali prima che si verifichi l'escalation dei privilegi.