Les équipes d’Aorato sont formelles : Microsoft Active Directory renferme une faille que des tiers peuvent exploiter pour changer les mots de passe des utilisateurs et ainsi usurper leur identité.
Selon l’entreprise israélienne spécialiste de la sécurité informatique, cette vulnérabilité dans l’implémentation du service d’annuaire LDAP pour les systèmes d’exploitation Windows est d’autant plus sensible que 95% des entreprises classées au Fortune 1000 ont déployé le protocole.
Au coeur du débat, on retrouve NTLM. Cette « vieille » méthode d’identification utilisée par défaut jusqu’à Windows XP Service Pack 3 (mais pour laquelle Microsoft assure encore la compatibilité avec ses OS plus récents, malgré la disponibilité de Kerberos depuis Windows 2000) présente une faille connue. Celle-ci est de type « pass-the-hash » (PtH) : elle permet de contourner la vérification de données par hachage, ouvrant ainsi la porte au vol d’informations de connexion.
D’après Aorato, les assaillants n’ont qu’à utiliser des outils de tests d’intrusion – comme Mimikatz et WCE – pour parvenir à leurs fins. La vulnérabilité ouvre par ailleurs l’accès à d’autres services du réseau de l’entreprise : le Remote Desktop Protocol (RDP ; gestion à distance des postes Windows) et Outlook Web Access (OWA ; application de messagerie professionnelle multiplateforme et mobile).
Alerté quant à l’existence de cette faille, Microsoft évoque une « limite » impossible à corriger, car directement liée à la conception du protocole d’identification NTLM, dont les spécifications sont publiquement accessibles. Bilan : les entreprises sont « pleinement conscientes » du danger qu’elles encourent.
La firme précise aussi avoir publié, en mai 2014, une mise à jour pour Windows 7/8.x et Server (à partir de la version 2008 R2) qui renforce la protection des informations d’identité et le contrôle d’identification. Sur ce dernier point, il est recommandé de passer par des cartes à puce et de supprimer RC4-HMAC, cette méthode de chiffrement implémentée dans Kerberos pour assurer la rétrocompatibilité.
Faisant référence à la taille de NTLM, à l’usage des outils de tests d’intrusion pour déterminer les identifiants de connexion et à la capacité à passer inaperçu pour quiconque les exploite, les experts d’Aorato expliquent que « c’est la combinaison [de ces] différents aspects qui fait de cette révélation une nouveauté« .
Et d’ajouter : « Puisqu’il n’y a pas de solution inhérente, la protection doit être fournie depuis l’extérieur« . Par exemple en détectant l’usage d’algorithmes de chiffrement autres que celui implémenté par défaut. Ou encore en identifiant les attaques par corrélation entre l’utilisation « anormale » de la méthode de chiffrement et son contexte (date et heure inhabituelles au regard du profil utilisateur, etc.).
—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous bien Microsoft ?
Crédit photo : Mopic – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…