Relais NTLM : cette faille zero-day touche toutes les versions de Windows !

Microsoft a corrigé une faille de sécurité zero-day qui touche toutes les versions de Windows, que ce soit les versions desktop ou les versions server. En l'exploitant, un attaquant non authentifié peut intercepter des requêtes d'authentification légitimes et les réutiliser pour s'authentifier à son tour auprès d'un annuaire Active Directory. On parle d'une attaque de type relais NTLM.

Même si j'ai déjà évoqué cette vulnérabilité au sein de mon article dédié au Patch Tuesday de Mai 2022, je souhaite insister sur cette faille, car elle est particulièrement dangereuse dans les environnements où l'authentification s'appuie sur un annuaire Active Directory. Elle touche le protocole d'authentification NTLM (NT Lan Manager) et LSA (Local Security Authority) associé au processus d'identification des utilisateurs "lsass.exe" sous Windows.

Associée à la référence CVE-2022-26925, cette faille de sécurité semble être un nouveau vecteur exploitable pour réaliser une attaque par "relais NTLM" comme PetitPotam (une faille de sécurité découverte en juillet 2021 par Lionel Gilles). Cette fois-ci, c'est Raphael John de l'entreprise allemande Bertelsmann Printing Group qui a reporté cette faille de sécurité à Microsoft. PetitPotam est une vulnérabilité bien connue des pirates informatiques et elle est utilisée dans le cadre d'attaques, y compris par certains ransomwares tels que LockFile.

Pour exploiter ce nouveau vecteur, le pirate n'a pas besoin d'être authentifié, mais c'est tout de même une attaque relativement complexe à mener. L'objectif étant d'intercepter des requêtes d'authentification entre un client et un contrôleur de domaine afin de pouvoir les rejouer, donc l'attaquant doit réaliser une attaque de type man-in-the-middle (MITM). Dans le cas où il réussit son coup, il peut s'authentifier auprès du contrôleur de domaine dans le but de compromettre le domaine.

Au sein de son bulletin de sécurité, Microsoft précise : "Un attaquant non authentifié pourrait appeler une méthode sur l'interface LSARPC et contraindre le contrôleur de domaine à s'authentifier auprès de l'attaquant en utilisant NTLM. Cette mise à jour de sécurité détecte les tentatives de connexion anonyme dans LSARPC et les interdit.".

Comment se protéger de la vulnérabilité CVE-2022-26925 ?

En mettant à jour vos machines ! Cette mise à jour doit être installée dès que possible sur vos machines sous Windows, en traitant en priorité les contrôleurs de domaine. Toutes les versions de Windows sont touchées, de Windows 7 à Windows 11, et de Windows Server 2008 à Windows Server 2022.

Selon votre version de Windows Server, le numéro de KB n'est pas le même. Voici une liste :

• Windows Server 2022 : KB5013944
• Windows Server 2019 : KB5013941
• Windows Server 2016 : KB5013952
• Windows Server 2012 R2 : KB5014011
• Windows Server 2012 : KB5014017

En complément, et pour se protéger contre les attaques par relais NTLM, voici quelques liens utiles :

• Microsoft - ADV210003
• IT-Connect - PetitPotam

Concernant les mises à jour de mai 2022 pour Windows 10 et Windows 11, voici le lien vers mes articles :

• Mises à jour Windows 10 de mai 2022 : KB5013942 et KB5013945
• Windows 11 KB5013943 : quoi de neuf ?