Une faille de sécurité critique découverte dans toutes les versions de Windows

Une faille de sécurité critique découverte dans toutes les versions de Windows

Une vulnérabilité inquiétante vient d'être dévoilée par une équipe de recherche en cybersécurité. Elle concernerait toutes les versions du système d'exploitation et pourrait être exploitée en affichant un simple fichier dans l'Explorateur de Windows.

Une équipe de chercheurs en cybersécurité de l'entreprise ACROS Security vient de révéler une faille touchant presque toutes les versions de Windows actuellement en circulation, de Windows 7 à 11 pour les versions de bureau, et de Windows Server 2008 à 2022 pour les versions serveur. Cette vulnérabilité est de type "0-day", ce qui signifie qu'elle vient d'être dévoilée et qu'elle n'a pas encore fait l'objet de l'attribution d'un numéro CVE, pour Common Vulnérabilités and Exposures, un recueil public d'informations et de documentation sur les failles informatiques connues.

Comme l'expliquent les auteurs de cette découverte sur une page du blog Opatch dédiée à ce sujet, la vulnérabilité concerne le protocole NTLM de Microsoft et permet à un attaquant de récupérer des données sensibles. Plus précisément, l'exploitation de la faille permet d'intercepter le hash des identifiants échangé entre un client et un serveur qui communique sur un réseau via le protocole NTLM. L'obtention du hachage pourrait permettre de retrouver le mot de passe originel par force brut, même si c'est peu probable, mais surtout de mener des attaques par « relais d'authentification ».

Ce qui semble particulièrement inquiétant au vu des déclarations de ACROS Security, c'est le vecteur d'attaque employé pour exploiter cette faille de sécurité. Selon les dires de l'entreprise, il suffirait en effet que l'utilisateur visualise un fichier dans l'Explorateur de Windows, sans même l'ouvrir, pour que la vulnérabilité soit exploitée. Afficher un simple fichier dans un dossier partagé sur un serveur, sur une clé USB ou un disque externe pourrait donc suffire pour déclencher le vol de données. Si cette faille fait peur sur le papier, son ampleur doit néanmoins être relativisée, au moins pour le moment.

Qu'est-ce que le protocole NTLM et où est-il utilisé ?

NTLM, pour New Technology LAN Manager, est un protocole d'authentification utilisé sur les réseaux informatiques Windows. Ce mécanisme de sécurité permet aux serveurs de vérifier l'identité des clients qui leur adressent des requêtes, tout en garantissant la confidentialité des identifiants. Lorsqu'un ordinateur client tente d'accéder à des ressources distantes, l'ordinateur serveur lui pose une "question", à laquelle le client ne peut répondre qu'à l'aide d'un mot de passe.

Cependant, l'ordinateur client ne transmet pas son mot de passe en clair sur le réseau, mais uniquement le hash de ce dernier (le résultat d'un traitement mathématique qui ne peut être effectué que dans un seul sens). Ainsi l'ordinateur serveur peut authentifier avec certitude l'ordinateur client, sans compromettre ses identifiants. NTLM est considéré comme obsolète par Microsoft depuis l'été 2023 et l'entreprise conseille d'utiliser en lieu et place le protocole d'authentification Kerbéros, plus récent et plus sécurisé.

Toutefois, le protocole NTLM est encore largement répandu sur les réseaux d'entreprises, sur certains services en ligne, et sur certains réseaux domestiques dotés de petits serveurs de type NAS. La découverte d'une technique permettant de dérober les hash des identifiants transmis via NTLM n'est donc pas à prendre totalement à la légère, bien qu'aucune preuve de son exploitation active ne soit connue pour le moment.

Comment savoir si mon ordinateur utilise le protocole NTLM ?

La réponse à cette question n'est pas facile et nécessite l'utilisation d'une combinaison d'outils et de méthodes. Pour savoir si votre ordinateur communique avec des serveurs ou des services distants via la protocole NTLM, vous pouvez utiliser un logiciel d'analyse de trafic réseau comme WireShark, en appliquant un filtre sur les flux et les paquets de données échangés avec le protocole NTLM.

Vous pouvez également consulter la documentation des matériels et logiciels que vous utilisez à votre domicile, comme un serveur NAS, pour savoir si ces derniers prennent en charge et utilisent le protocole NTLM pour communiquer en réseau. Vous pouvez également consulter les Politiques de Groupes et le Registre Windows pour rechercher des applications ou des services qui utilisent le protocole NTLM, mais ces sources sont malheureusement difficiles à exploiter pour un utilisateur peu ou non expérimenté.

Comment se protéger de la faille du protocole NTLM ?

La faille découverte par OPactch vient d'être dévoilée et transmise à Microsoft, qui n'a pas encore publié de correctif de sécurité à ce jour. Étant donné que le protocole NTLM est considéré comme obsolète par Microsoft elle-même, et que l'entreprise recommande à tous les développeurs et utilisateurs de migrer vers le protocole Kerbéros, il n'est pas certain qu'un correctif soit proposé.

Le groupe de chercheurs à l'origine de la découverte propose un correctif non officiel, en téléchargement "gratuit" pour le moment. Nous mettons l'expression entre parenthèses, car l'entreprise indique sur la page dédiée à ce sujet que, pour obtenir le correctif, vous devez " créez un compte gratuit dans 0patch Central, démarrez un essai gratuit, puis installez et enregistrez 0patch Agent ".

Étant donné qu'il s'agit d'une entreprise commerciale dont l'activité est de fournir des prestations de sécurité pour des systèmes dont Microsoft a arrêté la maintenance, ce "correctif gratuit" pourrait être une sorte de produit d'appel, pour inciter les utilisateurs inquiets à souscrire à des offres payantes. En l'état, pas sûr que ce correctif officiel soit utile ou nécessaire pour monsieur et madame Tout-le-monde.

Pour les utilisateurs lambda de Windows, les recommandations se bornent donc à être prudent lors de la consultation et de la récupération de ressources en ligne ou sur un réseau local. Ne pas télécharger n'importe quoi, ne pas ouvrir un répertoire étrange sur un dossier partagé, ne pas brancher de clé USB ou de disque externe à l'origine douteuse, ne pas exécuter de programmes inconnus. En somme, les bonnes pratiques habituelles avec un ordinateur.