Cette nouvelle zero-day dans Windows laisse fuiter vos identifiants : un correctif non officiel est disponible !
Une nouvelle faille de sécurité zero-day a été découverte dans Windows ! Un attaquant peut l'exploiter pour voler les identifiants NTLM simplement en incitant la victime à visualiser un fichier malveillant dans l'Explorateur de fichier ! Faisons le point sur cette menace.
Toutes les versions de Windows et Windows Server, à partir de Windows 7 et Windows Server 2008 R2, seraient vulnérables à cette nouvelle faille de sécurité mise en évidence par l'équipe de 0patch. D'après le rapport qui a été publié par 0patch, cela signifie que Windows 11 24H2 est vulnérable, tout comme Windows Server 2022. Windows Server 2025, n'est pas mentionné dans ce rapport, il pourrait donc fait figure d'exception : personnellement, je pense que ce n'est pas le cas.
Actuellement, cette faille de sécurité zero-day n'aurait pas de référence CVE, ni même de correctif officiel de la part de Microsoft. Néanmoins, l'entreprise américaine a été mise au courant de cette vulnérabilité et un patch devrait être publié prochainement. Le Patch Tuesday de décembre 2024 est attendu pour demain, mardi 10 décembre, donc il n'est pas à exclure qu'un correctif pour cette vulnérabilité soit présent.
Mais, alors, que risque-t-on avec cette vulnérabilité ? En l'exploitant, un attaquant peut voler les informations d'identification NTLM d'un utilisateur en parvenant à l'inciter à visualiser un fichier malveillant dans l'Explorateur de fichiers Windows. "Par exemple, en ouvrant un dossier partagé ou un disque USB contenant un tel fichier, ou en consultant le dossier Téléchargements dans lequel un tel fichier a été téléchargé automatiquement à partir d'une page web du pirate.", peut-on lire dans le rapport de 0patch.
Si cela est possible, c'est parce que la technique permet de forcer une connexion NTLM sortante vers un partage distant, ce qui permet à l'attaquant de récupérer des informations sensibles relatives à cette méthode d'authentification. Grâce à ces informations appelées hash Net-NTLM, l'attaquant peut compromettre le compte de l'utilisateur.
Comment se protéger ?
Concrètement, vous avez deux solutions. La première, c'est d'attendre le correctif officiel de la part de Microsoft, même si nous ne savons pas quand il sera disponible. La seconde, c'est d'utiliser le correctif de sécurité gratuit mis à disposition par 0patch, dans le cadre de son service de micropatching. Cela implique de créer un compte sur 0patch Central afin d'obtenir un agent à installer sur son serveur, et ainsi obtenir le correctif non officiel. Il s'agit d'une solution proposée par la société ACROS Security.
Windows 11 24H2 et Windows Server 2025 bénéficient d'un nouveau paramètre de stratégie de groupe permettant de bloquer l'authentification NTLM sur les connexions SMB sortantes. Cela pourrait permettre de se protéger de cette attaque, et d'autres techniques liées à NTLM de façon générale. Si cette méthode d'atténuation est viable, elle sera surement précisée sur le site de Microsoft, lorsque l'entreprise américaine aura corrigé cette vulnérabilité.
Récemment, 0patch avait mis en ligne un correctif de sécurité pour une vulnérabilité dans Windows Theme.
Bonjour,
L’ajout d’une yubikey (ou equivalent) en sus du login pour démarrer Windows me semble une solution pour attenuer cette attaque, bien que ça ne resolve pas tous les cas de figure…
Bien cordialement,