Authentification Windows : cette technique basée sur Microsoft Access permet de voler les tokens NTLM

Une nouvelle fois, des chercheurs en sécurité ont mis en lumière les faiblesses du protocole NTLM. Dans ce cas, un fichier Microsoft Access est utilisé pour forcer l'authentification du client sur un serveur. Faisons le point sur cette technique.

La technique d'attaque mise au point par les chercheurs en sécurité de chez Check Point s'appuie sur l'utilisation de l'application Microsoft Access. Pour rappel, Access est une application intégrée à la suite Microsoft Office permettant de gérer des bases de données. Parmi ses fonctionnalités, la possibilité de se connecter à des sources de données externes (une instance SQL Server, par exemple), via le connecteur ODBC.

Justement, c'est cette fonctionnalité qui peut être abusée par un attaquant : lier une table à partir d'une instance SQL Server externe. Dans le rapport de Check Point, Haifei Li précise : "Cette fonction peut être utilisée de manière abusive par des attaquants pour divulguer automatiquement les jetons NTLM de l'utilisateur Windows à n'importe quel serveur contrôlé par un attaquant, via n'importe quel port TCP, tel que le port 80." - Le fait d'utiliser un port "générique" comme le port 80 associé au HTTP permettra de contourner les politiques de sécurité de la majorité des firewalls.

Pour mettre au point cette attaque, l'utilisateur doit ouvrir un fichier Microsoft Access, au format .accdb ou au format .mdb. Même si, Haifei Lie précise : "En fait, n'importe quel type de fichier Office plus courant (tel qu'un fichier .rtf ) peut également fonctionner." - Voici un schéma qui illustre le processus de cette attaque :

Source : Check Point

Dans ce cas, un document Word est utilisé et il effectue la liaison à Access via le mécanisme OLE (que l'on peut utiliser en entreprise pour faire du publipostage). Si l'utilisateur se fait piéger et qu'il clique sur l'élément lié dans le document Word, l'appareil de l'utilisateur contactera le serveur contrôlé par l'attaquant pour s'authentifier ! Ceci va permettre à l'attaquant de relayer les échanges associés au processus d'authentification NTLM, entre le client et un serveur de l'entreprise (via le protocole NTLM). Au final, l'attaquant aura forcé le client à s'authentifier sur ce serveur !

Comment se protéger ?

Dans le rapport de Check Point, nous pouvons lire : "Nous avons reproduit avec succès l'attaque sur tous les environnements Windows + Office par défaut disponibles, y compris le dernier environnement Windows 10/11 + Office 2021." - Alors, comment se protéger ?

Toutefois, il est précisé qu'une version spécifique de Microsoft Office bloque cette tentative et affiche un avertissement : la version 2306, build 16529.20182. Mais, il est difficile de savoir quelles sont les versions qui ont eu le droit à un correctif, et celles qui ne l'ont pas eu : Microsoft doit avoir la réponse. Sinon, du côté du service de micro-patching 0patch, il y a des correctifs (non officiels) pour plusieurs versions : Office 2010, Office 2013, Office 2016, Office 2019.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5411.Voir tous les posts

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.