Authentification Windows : cette technique basée sur Microsoft Access permet de voler les tokens NTLM
Une nouvelle fois, des chercheurs en sécurité ont mis en lumière les faiblesses du protocole NTLM. Dans ce cas, un fichier Microsoft Access est utilisé pour forcer l'authentification du client sur un serveur. Faisons le point sur cette technique.
La technique d'attaque mise au point par les chercheurs en sécurité de chez Check Point s'appuie sur l'utilisation de l'application Microsoft Access. Pour rappel, Access est une application intégrée à la suite Microsoft Office permettant de gérer des bases de données. Parmi ses fonctionnalités, la possibilité de se connecter à des sources de données externes (une instance SQL Server, par exemple), via le connecteur ODBC.
Justement, c'est cette fonctionnalité qui peut être abusée par un attaquant : lier une table à partir d'une instance SQL Server externe. Dans le rapport de Check Point, Haifei Li précise : "Cette fonction peut être utilisée de manière abusive par des attaquants pour divulguer automatiquement les jetons NTLM de l'utilisateur Windows à n'importe quel serveur contrôlé par un attaquant, via n'importe quel port TCP, tel que le port 80." - Le fait d'utiliser un port "générique" comme le port 80 associé au HTTP permettra de contourner les politiques de sécurité de la majorité des firewalls.
Pour mettre au point cette attaque, l'utilisateur doit ouvrir un fichier Microsoft Access, au format .accdb ou au format .mdb. Même si, Haifei Lie précise : "En fait, n'importe quel type de fichier Office plus courant (tel qu'un fichier .rtf ) peut également fonctionner." - Voici un schéma qui illustre le processus de cette attaque :
Dans ce cas, un document Word est utilisé et il effectue la liaison à Access via le mécanisme OLE (que l'on peut utiliser en entreprise pour faire du publipostage). Si l'utilisateur se fait piéger et qu'il clique sur l'élément lié dans le document Word, l'appareil de l'utilisateur contactera le serveur contrôlé par l'attaquant pour s'authentifier ! Ceci va permettre à l'attaquant de relayer les échanges associés au processus d'authentification NTLM, entre le client et un serveur de l'entreprise (via le protocole NTLM). Au final, l'attaquant aura forcé le client à s'authentifier sur ce serveur !
Comment se protéger ?
Dans le rapport de Check Point, nous pouvons lire : "Nous avons reproduit avec succès l'attaque sur tous les environnements Windows + Office par défaut disponibles, y compris le dernier environnement Windows 10/11 + Office 2021." - Alors, comment se protéger ?
Toutefois, il est précisé qu'une version spécifique de Microsoft Office bloque cette tentative et affiche un avertissement : la version 2306, build 16529.20182. Mais, il est difficile de savoir quelles sont les versions qui ont eu le droit à un correctif, et celles qui ne l'ont pas eu : Microsoft doit avoir la réponse. Sinon, du côté du service de micro-patching 0patch, il y a des correctifs (non officiels) pour plusieurs versions : Office 2010, Office 2013, Office 2016, Office 2019.
