NT LAN Manager (NTLM) est le protocole d'authentification utilisé sur les réseaux qui incluent les systèmes exécutant le système d'exploitation Windows et sur les systèmes autonomes. Depuis Windows 2010, le protocole Kerberos est venu remplacer NTLM. Même si, comme Microsoft l’indique, le package de sécurité Microsoft Kerberos ajoute une plus grande sécurité que NTLM aux systèmes sur un réseau, NTLM est toujours supporté Les informations d'identification NTLM sont basées sur les données obtenues au cours du processus d'ouverture de session interactive et se composent d'un nom de domaine, d'un nom d'utilisateur et d'un hachage unidirectionnel du mot de passe de l'utilisateur. NTLM utilise un protocole de défi/réponse chiffré pour authentifier un utilisateur sans envoyer le mot de passe de l'utilisateur sur le réseau. Au lieu de cela, le système demandant l'authentification doit effectuer un calcul qui prouve qu'il a accès aux informations d'identification NTLM sécurisées.
L'authentification NTLM interactive sur un réseau implique généralement deux systèmes : un système client, où l'utilisateur demande une authentification, et un contrôleur de domaine, où les informations relatives au mot de passe de l'utilisateur sont conservées. L'authentification non interactive, qui peut être requise pour permettre à un utilisateur déjà connecté d'accéder à une ressource telle qu'une application serveur, implique généralement trois systèmes : un client, un serveur et un contrôleur de domaine qui effectue les calculs d'authentification pour le serveur.
Cependant, une faille a été découverte et qui pourrait permettre à un pirate de subtiliser les mots de passe haché Windows NTLM sans l’intervention de l’utilisateur. Le hack est relativement facile à réaliser et n'implique pas de compétences techniques avancées pour le faire. Tout ce dont l'attaquant a besoin c’est de placer un fichier SCF malveillant dans les dossiers Windows accessibles au public.
SCF signifie Shell Command File et est un format de fichier qui prend en charge un ensemble très limité de commandes Windows Explorer, telles que l'ouverture d'une fenêtre de l'Explorateur Windows ou l'affichage du bureau.
Une fois le fichier placé dans le dossier, il peut collecter le hachage de mot de passe NTLM de la cible et l'envoyer à un serveur configuré par l'attaquant. En utilisant un logiciel disponible publiquement, un attaquant pourrait casser le hachage de mot de passe NTLM et accéder plus tard à l'ordinateur de l'utilisateur.
Un tel piratage permettrait à un attaquant qui a une connexion directe avec le réseau d'une victime d'élever ses privilèges. Il pourrait donc créer des comptes administrateurs sur un domaine et par conséquent d'en prendre le contrôle.
Il faut noter que ce ne sont pas tous les ordinateurs avec des fichiers partagés qui sont vulnérables. En effet, les ordinateurs disposant de dossiers partagés protégés par un mot de passe ne sont pas vulnérables. En clair, seuls les utilisateurs qui partagent des dossiers sans mot de passe, parfois pour des raisons de commodité à l’instar des établissements scolaires, sont vulnérables.
Dans son patch Tuesday, Microsoft a déployé un correctif pour les versions récentes de son système d’exploitation. Dans son bulletin de sécurité, l’entreprise a expliqué que « Toutes les versions de Windows qui utilisent NTLM sont sensibles à ce type d'attaque. Microsoft publie ce nouveau comportement uniquement sur les plateformes Windows 10 et Server 2016 en raison des limitations dans les anciennes versions du pare-feu Windows, qui empêchent les anciens systèmes d'exploitation d'utiliser ce nouveau comportement. Microsoft recommande aux clients d'effectuer la mise à niveau vers les offres les plus récentes et les plus sécurisées. »
Source : MSDN, bulletin de sécurité Microsoft
