ACTUALITÉS - CYBERSECURITÉ

Présentation technique de la faille :

La vulnérabilité exploite une faiblesse liée au protocole NTLM (NT LAN Manager), un mécanisme d’authentification ancien toujours utilisé dans les systèmes Windows pour les environnements réseau. Voici comment cette attaque fonctionne :

• Utilisation d’un fichier spécialement conçu :
  • Un attaquant crée un fichier malveillant dans un dossier. Ce fichier est configuré pour provoquer une tentative d’authentification NTLM sortante lorsqu’il est simplement affiché dans l’Explorateur Windows. Aucune exécution n’est nécessaire.
• Connexion vers un serveur malveillant :
  • Lors de l’affichage du fichier, Windows tente de s’authentifier automatiquement en envoyant les hashs NTLM (Net-NTLMv2) de l’utilisateur vers un serveur SMB distant contrôlé par l’attaquant.
• Exploitation des identifiants volés :
  • Les hashs NTLM peuvent être utilisés dans des attaques pass-the-hash pour s’authentifier sur d’autres services.
  • L’attaquant peut tenter de briser les hash en effectuant une attaque par force brute pour récupérer le mot de passe en clair, surtout si ce dernier est faible.

Impact et scénarios d’exploitation :

Cette faille est particulièrement dangereuse pour plusieurs raisons :

• Aucune interaction supplémentaire requise : Il suffit à la victime d’afficher un dossier contenant le fichier malveillant pour déclencher l’attaque.
• Large surface d’attaque : Toutes les versions de Windows sont vulnérables, y compris les dernières mises à jour de Windows 11.
• Propagation facile : Les vecteurs d’attaque sont nombreux :
  • Pièges sur les dossiers partagés (réseau local).
  • Disques USB infectés.
  • Téléchargements automatiques dans un dossier comme "Téléchargements" à partir d’un navigateur ou d’un email.

Dans un environnement professionnel, un attaquant pourrait utiliser cette vulnérabilité pour :

• Obtenir des accès administratifs sur un domaine Windows (via pass-the-hash).
• Accéder à des partages réseau sensibles ou compromettre d’autres machines.

Réaction de Microsoft et solutions existantes :

À ce jour, Microsoft n’a pas publié de correctif officiel pour cette vulnérabilité. La société a été informée du problème mais n’a pas encore communiqué sur une date de résolution. Cependant, des chercheurs en sécurité ont proposé des solutions alternatives temporaires.

Correctif non officiel de 0patch :

L’équipe de 0patch a développé un patch temporaire permettant de mitiger cette vulnérabilité. Voici ce qu’il faut savoir :

• Le correctif est gratuit et peut être appliqué sans redémarrer le système.
• Il bloque le déclenchement automatique de l’authentification NTLM en empêchant l’Explorateur de fichiers d’interagir avec les fichiers malveillants.

Comment appliquer le correctif de 0patch ?

1. Rendez-vous sur le site officiel de 0patch.
2. Téléchargez et installez l’agent 0patch.
3. Appliquez le patch temporaire spécifique à votre version de Windows.

Mesures de mitigation en attendant un correctif officiel :

En l’absence d’un patch officiel de Microsoft, il est impératif de prendre des mesures proactives pour réduire l’exposition à cette vulnérabilité :

Désactiver l’authentification NTLM

• Dans les environnements qui le permettent, désactivez NTLM via les stratégies de groupe Windows.
• Configurez vos systèmes pour privilégier des protocoles plus sécurisés, comme Kerberos.

Limiter les connexions sortantes SMB

• Bloquez les connexions SMB sortantes vers des adresses IP externes via votre pare-feu réseau.
• Ceci empêche la transmission des hashs NTLM vers des serveurs contrôlés par des attaquants.

Surveiller les activités réseau suspectes

• Implémentez une solution de détection des menaces (IDS/IPS) pour surveiller les connexions SMB inhabituelles.
• Identifiez et bloquez les tentatives de connexion vers des serveurs externes non autorisés.

Sensibiliser les utilisateurs

• Formez vos équipes pour éviter les téléchargements ou ouvertures de fichiers provenant de sources inconnues.
• Renforcez les bonnes pratiques en matière de sécurité des mots de passe.

Pourquoi NTLM reste une cible privilégiée ?

Le protocole NTLM, bien que largement obsolète, est encore présent dans de nombreux environnements Windows pour des raisons de compatibilité héritée. Sa conception ancienne le rend vulnérable aux attaques modernes, notamment :

• Pass-the-hash : Les attaquants utilisent directement les hashs volés pour s’authentifier sans connaître le mot de passe.
• Force brute : Les hashs NTLM sont relativement faciles à casser avec des outils spécialisés, surtout si les mots de passe sont faibles.

Microsoft recommande depuis longtemps de migrer vers Kerberos, un protocole plus sécurisé, mais beaucoup d’organisations continuent d’utiliser NTLM pour des raisons de compatibilité.

Conclusion :

La vulnérabilité zero-day affectant NTLM constitue une menace sérieuse pour les utilisateurs et entreprises exploitant des environnements Windows. Son exploitation, facilitée par la simple visualisation d’un fichier malveillant, souligne la nécessité de limiter l’utilisation de NTLM, d’appliquer des correctifs temporaires et de surveiller étroitement les activités réseau.

En attendant une réponse officielle de Microsoft, l’application du correctif temporaire de 0patch et l’adoption des mesures de mitigation présentées dans cet article sont essentielles pour se protéger contre cette attaque.

Vous souhaitez en savoir plus ou bien être accompagné par nos services sur ce genre de thématique ?