Une vulnérabilité inquiétante vient d’être révélée par une équipe de recherche en cybersécurité. Cela affecterait toutes les versions du système d’exploitation et pourrait être exploité en affichant un simple fichier dans l’Explorateur Windows.
Une équipe de chercheurs en cybersécurité de la société ACROS Security vient de révéler une faille affectant presque toutes les versions de Windows actuellement en circulation, de Windows 7 à 11 pour les versions de bureau, et de Windows Server 2008 à 2022 pour les versions serveur. Cette vulnérabilité est de type « 0-day », ce qui signifie qu’elle vient d’être révélée et qu’elle n’a pas encore reçu de numéro CVE, par exemple. Vulnérabilités et expositions courantesune collection publique d’informations et de documentation sur les vulnérabilités informatiques connues.
Comme l’expliquent les auteurs de cette découverte sur une page du blog Opatch dédiée à ce sujet, la vulnérabilité concerne le protocole NTLM de Microsoft et permet à un attaquant de récupérer des données sensibles. Plus précisément, l’exploitation de la faille permet d’intercepter le hacher identifiants échangés entre un client et un serveur qui communique sur un réseau via le protocole NTLM. L’obtention du hachage pourrait permettre de retrouver le mot de passe d’origine par force brute, même si cela est peu probable, mais surtout de réaliser des attaques de type « relais d’authentification ».
Ce qui semble particulièrement inquiétant au vu des déclarations d’ACROS Security, c’est le vecteur d’attaque utilisé pour exploiter cette faille de sécurité. Selon l’entreprise, il suffirait à l’utilisateur de visualiser un fichier dans l’Explorateur Windows, sans même l’ouvrir, pour que la vulnérabilité soit exploitée. Afficher un simple fichier dans un dossier partagé sur un serveur, sur une clé USB ou un disque externe pourrait donc suffire à déclencher un vol de données. Si ce défaut fait peur sur le papier, son ampleur doit néanmoins être relativisée, du moins pour le moment.
Qu’est-ce que NTLM et où est-il utilisé ?
NTLM, pour New Technology LAN Manager, est un protocole d’authentification utilisé sur les réseaux informatiques Windows. Ce mécanisme de sécurité permet aux serveurs de vérifier l’identité des clients qui leur envoient des requêtes, tout en garantissant la confidentialité des identifiants. Lorsqu’un ordinateur client tente d’accéder à des ressources distantes, l’ordinateur serveur lui pose une « question », à laquelle le client ne peut répondre qu’à l’aide d’un mot de passe.
Cependant, l’ordinateur client ne transmet pas son mot de passe en clair sur le réseau, mais uniquement le hacher de cette dernière (résultat d’un traitement mathématique qui ne peut s’effectuer que dans un seul sens). Ainsi l’ordinateur serveur peut authentifier l’ordinateur client avec certitude, sans compromettre ses identifiants. NTLM est considéré comme obsolète par Microsoft depuis l’été 2023 et la société recommande d’utiliser à la place le protocole d’authentification Kerberos, plus récent et plus sécurisé.
Cependant, le protocole NTLM est encore largement utilisé sur les réseaux d’entreprise, sur certains services en ligne, et sur certains réseaux domestiques équipés de petits serveurs de type NAS. La découverte d’une technique de vol hacher Les identifiants transmis via NTLM ne doivent donc pas être pris complètement à la légère, même si aucune preuve de leur exploitation active n’est connue pour le moment.
Comment savoir si mon ordinateur utilise le protocole NTLM ?
La réponse à cette question n’est pas facile et nécessite l’utilisation d’une combinaison d’outils et de méthodes. Pour savoir si votre ordinateur communique avec des serveurs ou services distants via le protocole NTLM, vous pouvez utiliser un logiciel d’analyse du trafic réseau comme WireShark, appliquant un filtre sur les flux de données et les paquets échangés avec le protocole NTLM.
Vous pouvez également consulter la documentation du matériel et des logiciels que vous utilisez chez vous, comme un serveur NAS, pour voir s’ils prennent en charge et utilisent le protocole NTLM pour la communication réseau. Vous pouvez également consulter les stratégies de groupe et le registre Windows pour trouver des applications ou des services qui utilisent le protocole NTLM, mais ces sources sont malheureusement difficiles à exploiter pour un utilisateur peu ou pas expérimenté.
Comment se protéger de la faille du protocole NTLM ?
La faille découverte par OPactch vient d’être révélée et transmise à Microsoft, qui n’a pas encore publié de patch de sécurité à ce jour. Étant donné que le protocole NTLM est considéré comme obsolète par Microsoft lui-même et que la société recommande à tous les développeurs et utilisateurs de migrer vers le protocole Kerberos, il n’est pas certain qu’un correctif soit proposé.
Le groupe de chercheurs à l’origine de la découverte propose un patch non officiel, en téléchargement « gratuit » pour le moment. Nous mettons la phrase entre parenthèses car la société indique sur la page dédiée à ce sujet que pour obtenir le correctif, vous devez « créer un compte gratuit dans 0patch Central, démarrer un essai gratuit, puis installer et enregistrer 0patch Agent ». .
Étant donné qu’il s’agit d’une société commerciale dont l’activité est de fournir des services de sécurité pour des systèmes pour lesquels Microsoft a cessé de maintenir, ce « patch gratuit » pourrait être une sorte d’appel d’offre, pour inciter les utilisateurs inquiets à souscrire à des offres payantes. Dans l’état actuel des choses, je ne sais pas si ce correctif officiel est utile ou nécessaire pour tout le monde.
Pour les utilisateurs ordinaires de Windows, les recommandations se limitent donc à faire preuve de prudence lors de la consultation et de la récupération de ressources en ligne ou sur un réseau local. Ne téléchargez rien, n’ouvrez pas de répertoire étrange sur un dossier partagé, ne branchez pas de clé USB ou de disque externe d’origine douteuse, n’exécutez pas de programmes inconnus. Bref, les bonnes pratiques habituelles avec un ordinateur.
