Une vulnérabilité zero-day récemment découverte dans Windows permet aux attaquants de voler les informations d'identification NTLM simplement en incitant les utilisateurs à visualiser un fichier malveillant dans l'Explorateur Windows. La faille, identifiée par l'équipe 0patch, affecte toutes les versions de Windows, de Windows 7 et Server 2008 R2 à Windows 11 24H2 et Server 2022, rendant les organisations vulnérables aux attaques basées sur l'identité. Bien que cette technique soit connue des pentesters et des professionnels de la sécurité depuis des années, sa récente divulgation publique par l'équipe 0patch souligne l'urgence pour les organisations de s'attaquer aux risques posés par les protocoles hérités tels que NTLM.
Comprendre la vulnérabilité Ce jour zéro tire parti de la manière dont Windows gère l'authentification NTLM. Il ne nécessite qu'une interaction minimale de la part de l'utilisateur : la simple visualisation d'un fichier malveillant dans l'Explorateur de fichiers suffit à déclencher l'exploit. Cela peut se produire dans différents scénarios, comme l'accès à un dossier partagé, l'insertion d'une clé USB ou l'ouverture du dossier Téléchargements. Lorsque le fichier malveillant est consulté, l'exploit oblige le système de l'utilisateur à lancer une demande d'authentification NTLM vers un site distant. Cette demande envoie des hachages NTLM de l'utilisateur connecté, que les attaquants peuvent déchiffrer pour révéler le mot de passe en clair de l'utilisateur. Ces informations d'identification volées peuvent ensuite être utilisées pour élever les privilèges, se déplacer latéralement ou accéder à des ressources sensibles.
Bien que les faiblesses de NTLM soient reconnues depuis des décennies, de nombreuses organisations continuent de s'y fier en raison de son intégration profonde dans les processus critiques, ce qui rend son remplacement immédiat difficile. Cela souligne la nécessité de stratégies d'atténuation proactives et de plans à long terme pour passer à des protocoles d'authentification plus sûrs.
Absence de solution officielle
Malgré les risques importants que pose cette vulnérabilité, elle n'a pas encore reçu de désignation officielle CVE (Common Vulnerabilities and Exposures) ni de correctif de la part de Microsoft. Il s'agit de la troisième faille de type "zero-day" révélée par l'équipe 0patch que Microsoft n'a pas encore corrigée, après le contournement de "Mark of the Web" et une vulnérabilité de Windows Themes signalée au début de cette année. D'autres problèmes liés à NTLM, tels que PetitPotam et PrinterBug, ne sont toujours pas résolus dans les versions actuelles de Windows.
Pourquoi cette vulnérabilité est toujours d'actualité
Bien que les faiblesses de NTLM soient bien documentées et que son utilisation soit critiquée depuis des décennies, de nombreuses organisations continuent de s'y fier. Cela est souvent dû à l'intégration profonde du protocole dans les processus critiques, ce qui rend le remplacement complexe et fastidieux. Cependant, comme les attaquants exploitent de plus en plus les vulnérabilités existantes, le coût de l'inaction augmente. Cette vulnérabilité nous rappelle que même des failles bien connues peuvent rester dangereuses si elles ne sont pas corrigées. Les organisations doivent trouver un équilibre entre le défi que représente le remplacement des systèmes existants et le besoin urgent de sécuriser leurs environnements. Même s'il n'est pas possible de remplacer immédiatement NTLM, l'adoption de solutions de détection et de réponse avancées peut fournir une protection essentielle contre le vol d'informations d'identification et les mouvements latéraux.
Comment Vectra AI peut aider
Vectra AI offre une protection robuste contre les menaces basées sur l'identité en s'appuyant sur Attack Signal Intelligence™ pour détecter et stopper les attaques basées sur l'identité. Vectra AILa solution Identity Threat Detection and Response (ITDR) d'EMC est conçue pour identifier et stopper les attaques basées sur l'identité, y compris celles qui ciblent les identifiants NTLM.
- Détection des abus d'identification : Vectra AI s'attache à comprendre comment les attaquants utilisent les identifiants volés pour atteindre leurs objectifs, plutôt que de s'intéresser uniquement aux méthodes utilisées pour les voler. Cette approche permet de détecter diverses techniques d'abus d'identifiants, telles que Pass the Hash et Pass the Ticket, qui sont couramment utilisées après l'obtention des hachages NTLM.
- Surveillance des attaques basées sur l'identité : Notre plateforme offre une couverture complète pour les attaquants qui ciblent les informations d'identification et les magasins d'identité à l'aide de techniques telles que Kerberoasting, DCSync et les requêtes LDAP erronées. En surveillant en permanence les activités suspectes liées à l'identité, Vectra AI peut alerter les équipes de sécurité sur les tentatives d'exploitation potentielles.
- Attack Signal IntelligenceVectra AI s'appuie sur Attack Signal Intelligence™ pour distinguer les activités bénignes des véritables menaces, en se concentrant sur les signaux qui indiquent les comportements réels des attaquants. En analysant la façon dont les attaquants interagissent avec les systèmes, Vectra AI identifie les tentatives d'accès non autorisé et les activités de mouvement latéral découlant de vulnérabilités telles que l'exploit NTLM, aidant ainsi les équipes de sécurité à se concentrer sur ce qui compte le plus.
- Réduction de la fatigue des alertes: En corrélant la couverture de l'identité avec l'activité plus large du réseau et de cloud , Vectra AI minimise les faux positifs, clarifie les comportements réels des attaquants et réduit la fatigue des alertes pour les analystes de la sécurité.
Protégez votre organisation dès aujourd'hui
Vous vous fiez encore à des protocoles hérités comme NTLM ? Il est temps de protéger votre organisation. Découvrez comment Vectra AI's Attack Signal Intelligence™ peut vous aider à détecter et à arrêter les menaces telles que le vol d'informations d'identification NTLM avant qu'elles ne causent des dommages.
Demandez une démonstration dès aujourd'hui et découvrez comment Vectra AI renforce votre défense contre les cybermenaces en constante évolution.