Pour toutes les versions de Windows, les chercheurs d’Acros Security informent de la découverte d’une vulnérabilité 0-day. Son exploitation permet à un attaquant d’obtenir les identifiants NTLM d’un utilisateur via la simple visualisation d’un fichier malveillant spécialement conçu dans l’Explorateur Windows.
Les exemples cités sont l’ouverture d’un dossier partagé ou un disque USB contenant le fichier, la consultation du dossier Téléchargements où un tel fichier a été préalablement téléchargé de manière automatique depuis une page web malveillante.
Peu de détails, mais d’après l’analyse de BleepingComputer, il serait possible de forcer une connexion NTLM vers un partage distant afin d’amener Windows à envoyer des hash NTLM pour l’utilisateur connecté. Ils seraient alors dérobés par l’attaquant.
La vulnérabilité a été signalée à Microsoft qui assure que les mesures de protection nécessaires seront prises si besoin. Néanmoins, un certain flou demeure. La faille 0-day sert en outre à faire la promotion de la plateforme 0patch pour bénéficier de micropatchs idoines.
Le vieux protocole NTLM
Le protocole d’authentification NTLM (NT LAN Manager) est encore présent dans Windows pour des raisons de compatibilité. Néanmoins, sa désactivation par défaut est prévue dans Windows et Microsoft encourage au passage à des protocoles d’authentification modernes comme Kerberos.
Microsoft indique que dans Windows Server 2025 et Windows 11 24H2, NTLMv1 a été supprimé, tandis que NTLMv2 est obsolète (dépréciation). Par ailleurs, les administrateurs peuvent configurer SMB pour bloquer NTLM.
En attendant, Microsoft précise que plusieurs stratégies sont explorées pour une protection renforcée contre les attaques NTLM. Un billet de blog pour l’atténuation par défaut des attaques dites par relais NTLM vient d’être publié par Microsoft… sans savoir s’il y a un lien avec l’alerte d’Acros Security.