Les chercheurs d’ACROS Security ont identifié une nouvelle faille de sécurité dans le code de Windows. La vulnérabilité « permet à un attaquant d’obtenir les informations d’identification NTLM de l’utilisateur », indiquent les experts. Il s’agit des données de NTLM (New Technology LAN Manager) le protocole d’authentification développé par Microsoft pour vérifier l’identité des utilisateurs. Ce sont des empreintes (ou des « hashes » en anglais) des mots de passe des usagers, qui sont stockées sur le système d’exploitation. Elles sont utilisées lors du processus d’authentification pour valider l’identité de l’utilisateur sans devoir transmettre le mot de passe en clair sur le réseau. Le protocole a vu le jour dans les années 1990.
À lire aussi : cette faille de Windows est exploitée par 11 gangs de pirates depuis 2017
Un fichier malveillant dans l’Explorateur de Windows
Pour mettre la main sur ces identifiants, les attaquants doivent convaincre la cible de « consulter un fichier malveillant » dans l’Explorateur de Windows. Par exemple, les attaquants peuvent se servir de « l’ouverture d’un fichier malveillant situé dans un dossier partagé ou sur une clé USB, ou de l’ouverture du dossier Téléchargements où ce fichier aurait été téléchargé automatiquement depuis le site web de l’attaquant ».
Les chercheurs d’ACROS Security admettent que l’exploitation de la faille, dont les détails n’ont pas été divulgués, dépend « de plusieurs facteurs ». Il faut notamment que « l’attaquant soit déjà dans le réseau de la victime » ou qu’il se serve des identifiants interceptés pour s’authentifier auprès d’un serveur Exchange public. Toutes les versions de Windows, allant de Windows 7 jusqu’aux versions les plus récentes de Windows 11, ainsi que de Windows Server 2008 R2 à Windows Server 2025, sont touchées.
Ce n’est pas la première fois qu’une menace plane sur les identifiants NTLM. Par le passé, de nombreux cybercriminels se sont appuyés sur le protocole d’authentification pour mener des cyberattaques. Une faille des hachages NTLM a d’ailleurs été corrigée le mois dernier. Comme le souligne ACROS Security, il est prouvé que les failles du NTLM sont exploitées dans le cadre d’attaques.
Face aux nombreux abus identifiés, Microsoft a annoncé son intention de mettre un terme au protocole. Microsoft indique que toutes les versions de NTLM, y compris LANMAN, NTLMv1 et NTLMv2, ne sont plus en développement actif et sont considérées comme obsolètes. Par ailleurs, l’éditeur a commencé à supprimer NTLM sur les versions récentes de Windows. Les futures versions de Windows 11 en seront dépourvues.
Un correctif non officiel est disponible
Redoutant que les cybercriminels exploitent la faille de sécurité de NTLM, ACROS Security a mis en ligne un correctif non officiel de Windows sur son site web. Ce correctif, qui prend la forme de plusieurs micropatchs, restera gratuit « jusqu’à ce que Microsoft ait fourni un correctif officiel ». Il suffit de se rendre sur le service de micropatching 0Patch pour obtenir les correctifs.
« Nous gardons les détails sur cette vulnérabilité jusqu’à ce que le correctif de Microsoft soit disponible pour minimiser le risque d’exploitation malveillante », déclare ACROS Security.
Dans une réaction adressée à Bleeping Computer, Microsoft s’est engagé à prendre « les mesures nécessaires pour protéger les clients ». Le groupe américain n’a pas communiqué davantage de détails sur la date de déploiement d’une mise à jour de Windows.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : 0Patch
