Une nouvelle vulnérabilité zero-day a été découverte qui permet aux attaquants de capturer des informations d’identification NTLM en incitant simplement la cible à afficher un fichier malveillant dans l’Explorateur Windows.
La faille a été découverte par l’équipe 0patch, une plate-forme qui fournit un support non officiel pour les versions Windows en fin de vie, et a été signalée à Microsoft. Cependant, aucun correctif officiel n’a encore été publié.
Selon 0patch, le problème, qui n’a actuellement aucun identifiant CVE, affecte toutes les versions de Windows à partir de Windows 7 et Server 2008 R2 jusqu’aux dernières versions de Windows 11 24H2 et Server 2022.
Un exploit sans clic
0patch a caché les détails techniques de la vulnérabilité zero-day jusqu’à ce que Microsoft fournisse un correctif officiel pour empêcher d’alimenter une exploitation active dans la nature.
Les chercheurs ont expliqué que l’attaque fonctionne en visualisant simplement un fichier malveillant spécialement conçu dans l’Explorateur de fichiers, de sorte que l’ouverture du fichier n’est pas nécessaire.
« La vulnérabilité permet à un attaquant d’obtenir les informations d’identification NTLM de l’utilisateur en demandant simplement à l’utilisateur d’afficher un fichier malveillant dans l’Explorateur Windows, par exemple en ouvrant un dossier partagé ou un disque USB contenant ce fichier, ou en affichant le dossier Téléchargements dans lequel ce fichier était précédemment automatiquement téléchargé à partir de la page Web de l’attaquant », explique 0patch.
Bien que 0Patch ne partage pas plus de détails sur la vulnérabilité, Breachtrace comprend qu’il force une connexion NTLM sortante vers un partage distant. Cela amène Windows à envoyer automatiquement des hachages NTLM pour l’utilisateur connecté, que l’attaquant peut ensuite voler.
Comme démontré à maintes reprises, ces hachages peuvent être piratés, permettant aux acteurs de la menace d’accéder aux noms de connexion et aux mots de passe en clair. Microsoft a annoncé il y a un an son intention de supprimer le protocole d’authentification NTLM dans Windows 11 à l’avenir.
0patch note qu’il s’agit de la troisième vulnérabilité zero-day qu’ils ont récemment signalée à Microsoft et que le fournisseur n’a pas pris de mesures immédiates pour y remédier.
Les deux autres sont le contournement de la marque du Web (MotW) sur Windows Server 2012, rendu public à la fin du mois dernier, et une vulnérabilité de thèmes Windows permettant le vol d’informations d’identification NTLM à distance, divulguée fin octobre. Les deux questions restent non résolues.
0patch indique que d’autres failles de divulgation de hachage NTLM divulguées dans le passé, telles que PetitPotam, PrinterBug/SpoolSample et DFSCoerce, restent toutes sans correctif officiel dans les dernières versions de Windows, ne laissant aux utilisateurs que les micropatchs fournis par 0patch.
Micropatch gratuit disponible
0patch offrira un micropatch gratuit pour le dernier jour zéro NTLM à tous les utilisateurs enregistrés sur sa plate-forme jusqu’à ce que Microsoft fournisse un correctif officiel.
Les comptes PRO et Enterprise ont déjà reçu automatiquement le micropatch de sécurité, sauf si leur configuration l’empêche explicitement.
Pour recevoir ce correctif non officiel, créez un compte gratuit sur 0patch Central, démarrez un essai gratuit, puis installez l’agent et autorisez-le à appliquer automatiquement les micropatchs appropriés. Aucun redémarrage n’est requis.
Les utilisateurs qui ne souhaitent pas appliquer le correctif non officiel fourni par 0patch peuvent envisager de désactiver l’authentification NTLM avec une Stratégie de groupe dans « Paramètres de sécurité > Stratégies locales > Options de sécurité » et de configurer les stratégies » Sécurité du réseau: Restreindre NTLM ». La même chose peut être obtenue grâce à des modifications du registre.