Relais NTLM : cette faille zero-day touche toutes les versions de Windows !

Microsoft a corrigé une faille de sécurité zero-day qui touche toutes les versions de Windows, que ce soit les versions desktop ou les versions server. En l'exploitant, un attaquant non authentifié peut intercepter des requêtes d'authentification légitimes et les réutiliser pour s'authentifier à son tour auprès d'un annuaire Active Directory. On parle d'une attaque de type relais NTLM.

Même si j'ai déjà évoqué cette vulnérabilité au sein de mon article dédié au Patch Tuesday de Mai 2022, je souhaite insister sur cette faille, car elle est particulièrement dangereuse dans les environnements où l'authentification s'appuie sur un annuaire Active Directory. Elle touche le protocole d'authentification NTLM (NT Lan Manager) et LSA (Local Security Authority) associé au processus d'identification des utilisateurs "lsass.exe" sous Windows.

Associée à la référence CVE-2022-26925, cette faille de sécurité semble être un nouveau vecteur exploitable pour réaliser une attaque par "relais NTLM" comme PetitPotam (une faille de sécurité découverte en juillet 2021 par Lionel Gilles). Cette fois-ci, c'est Raphael John de l'entreprise allemande Bertelsmann Printing Group qui a reporté cette faille de sécurité à Microsoft. PetitPotam est une vulnérabilité bien connue des pirates informatiques et elle est utilisée dans le cadre d'attaques, y compris par certains ransomwares tels que LockFile.

Pour exploiter ce nouveau vecteur, le pirate n'a pas besoin d'être authentifié, mais c'est tout de même une attaque relativement complexe à mener. L'objectif étant d'intercepter des requêtes d'authentification entre un client et un contrôleur de domaine afin de pouvoir les rejouer, donc l'attaquant doit réaliser une attaque de type man-in-the-middle (MITM). Dans le cas où il réussit son coup, il peut s'authentifier auprès du contrôleur de domaine dans le but de compromettre le domaine.

Au sein de son bulletin de sécurité, Microsoft précise : "Un attaquant non authentifié pourrait appeler une méthode sur l'interface LSARPC et contraindre le contrôleur de domaine à s'authentifier auprès de l'attaquant en utilisant NTLM. Cette mise à jour de sécurité détecte les tentatives de connexion anonyme dans LSARPC et les interdit.".

Comment se protéger de la vulnérabilité CVE-2022-26925 ?

En mettant à jour vos machines ! Cette mise à jour doit être installée dès que possible sur vos machines sous Windows, en traitant en priorité les contrôleurs de domaine. Toutes les versions de Windows sont touchées, de Windows 7 à Windows 11, et de Windows Server 2008 à Windows Server 2022.

Selon votre version de Windows Server, le numéro de KB n'est pas le même. Voici une liste :

  • Windows Server 2022 : KB5013944
  • Windows Server 2019 : KB5013941
  • Windows Server 2016 : KB5013952
  • Windows Server 2012 R2 : KB5014011
  • Windows Server 2012 : KB5014017

En complément, et pour se protéger contre les attaques par relais NTLM, voici quelques liens utiles :

Concernant les mises à jour de mai 2022 pour Windows 10 et Windows 11, voici le lien vers mes articles :

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3781 posts and counting.See all posts by florian

5 thoughts on “Relais NTLM : cette faille zero-day touche toutes les versions de Windows !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.