Des correctifs non officiels gratuits sont disponibles pour une nouvelle vulnérabilité Windows zero-day qui peut permettre à des attaquants distants de voler des informations d’identification NTLM en incitant les cibles à afficher des fichiers malveillants dans l’Explorateur Windows.
NTLM a été largement exploité dans les attaques de relais NTLM (où les acteurs de la menace forcent les périphériques réseau vulnérables à s’authentifier auprès des serveurs contrôlés par l’attaquant) et les attaques pass-the-hash (où ils exploitent les vulnérabilités pour voler des hachages NTLM, qui sont des mots de passe hachés).
Les attaquants utilisent ensuite le hachage volé pour s’authentifier en tant qu’utilisateur compromis, accéder aux données sensibles et se propager latéralement sur le réseau. L’année dernière, Microsoft a annoncé son intention de retirer le protocole d’authentification NTLM dans les futures versions de Windows 11.
Les chercheurs en sécurité d’ACROS ont découvert la nouvelle vulnérabilité de divulgation de hachage NTLM du fichier SCF lors du développement de correctifs pour un autre problème de divulgation de hachage NTLM. Ce nouveau jour zéro n’a pas reçu d’identifiant CVE et affecte toutes les versions de Windows, de Windows 7 aux dernières versions de Windows 11 et de Server 2008 R2 à Server 2025.
« La vulnérabilité permet à un attaquant d’obtenir les informations d’identification NTLM de l’utilisateur en demandant à l’utilisateur d’afficher un fichier malveillant dans l’Explorateur Windows, par exemple en ouvrant un dossier partagé ou un disque USB contenant ce fichier, ou en affichant le dossier Téléchargements dans lequel ce fichier a été précédemment téléchargé automatiquement à partir de la page Web de l’attaquant », a déclaré Mitja Kolsek, PDG d’ACROS Security, mardi.
« Notez que bien que ces types de vulnérabilités ne soient pas critiques et que leur exploitabilité dépende de plusieurs facteurs (par exemple, l’attaquant étant déjà dans le réseau de la victime ou ayant une cible externe comme un serveur Exchange public vers lequel relayer les informations d’identification volées), ils ont été trouvés pour être utilisés dans des attaques réelles. »
Micropatchs disponibles pour tous les utilisateurs 0patch
ACROS Security fournit désormais des correctifs de sécurité gratuits et non officiels pour cette faille zero-day via son service de micropatching 0Patch pour toutes les versions Windows affectées jusqu’à ce que Microsoft publie des correctifs officiels.
« Nous avons signalé ce problème à Microsoft et, comme d’habitude, nous avons émis des micropatchs qui resteront gratuits jusqu’à ce que Microsoft ait fourni un correctif officiel », a ajouté Kolsek. « Nous ne divulguons aucun détail sur cette vulnérabilité jusqu’à ce que le correctif de Microsoft soit disponible afin de minimiser le risque d’exploitation malveillante. »
Pour installer le micropatch sur votre PC Windows, créez un compte et installez l’agent 0patch. Une fois lancé, l’agent applique automatiquement le micropatch sans nécessiter de redémarrage du système s’il n’y a pas de stratégie de correction personnalisée pour le bloquer.
Au cours des derniers mois, 0patch a signalé trois autres vulnérabilités zero-day que Microsoft a corrigées ou n’a pas encore corrigées, notamment un bogue de thème Windows (corrigé en tant que CVE-2025-21308) , une marque de contournement Web sur Server 2012 (toujours un zero-day sans correctif officiel), et une vulnérabilité de divulgation de hachage NTLM de fichier URL (corrigée en tant que CVE-2025-21377).
0patch a également révélé d’autres failles de divulgation de hachage NTLM dans le passé, telles que PetitPotam, PrinterBug / SpoolSample et DFSCoerce, qui n’ont pas encore reçu de correctif.
Un porte-parole de Microsoft n’a pas pu immédiatement fournir de déclaration lorsqu’il a été contacté par Breachtrace plus tôt dans la journée.