Microsoft a annoncé plus tôt cette semaine que le protocole d’authentification NTLM serait supprimé dans le futur dans Windows 11.

NTLM (abréviation de New Technology LAN Manager) est une famille de protocoles utilisés pour authentifier les utilisateurs distants et assurer la sécurité des sessions.

Kerberos, un autre protocole d’authentification, a remplacé NTLM et constitue désormais le protocole d’authentification par défaut actuel pour les appareils connectés au domaine sur toutes les versions de Windows supérieures à Windows 2000.

Bien qu’il s’agisse du protocole par défaut utilisé dans les anciennes versions de Windows, NTLM est toujours utilisé aujourd’hui et si, pour une raison quelconque, Kerberos échoue, NTLM sera utilisé à la place.

Les acteurs malveillants ont largement exploité NTLM dans des attaques par relais NTLM où ils forcent les périphériques réseau vulnérables (y compris les contrôleurs de domaine) à s’authentifier auprès des serveurs sous le contrôle des attaquants, élevant ainsi leurs privilèges pour obtenir un contrôle total sur le domaine Windows.

Malgré cela, NTLM est toujours utilisé sur les serveurs Windows, permettant aux attaquants d’exploiter des vulnérabilités telles que ShadowCoerce, DFSCoerce, PetitPotam et RemotePotato0, conçues pour contourner les atténuations des attaques par relais NTLM.

NTLM a également été la cible d’attaques pass-the-hash, dans lesquelles les cybercriminels exploitent les vulnérabilités du système ou déploient des logiciels malveillants pour acquérir des hachages NTLM, qui représentent des mots de passe hachés, à partir d’un système ciblé.

Une fois en possession du hachage, les attaquants peuvent l’utiliser pour s’authentifier en tant qu’utilisateur compromis, accédant ainsi aux données sensibles et se propageant latéralement sur le réseau.

Microsoft dit que les développeurs ne devraient plus utiliser NTLM dans leurs applications depuis 2010et conseille aux administrateurs Windows de désactiver NTLM ou de configurer leurs serveurs pour bloquer les attaques de relais NTLM à l’aide des services de certificats Active Directory (AD CS).

Cependant, Microsoft travaille désormais sur deux nouvelles fonctionnalités Kerberos : IAKerb (Initial and Pass Through Authentication Using Kerberos) et Local KDC (Local Key Distribution Center).

« Le KDC local pour Kerberos est construit au-dessus du gestionnaire de comptes de sécurité de la machine locale, de sorte que l’authentification à distance des comptes d’utilisateurs locaux peut être effectuée à l’aide de Kerberos », explique Matthew Palko de Microsoft. expliqué.

« Cela exploite IAKerb pour permettre à Windows de transmettre des messages Kerberos entre des machines locales distantes sans avoir à ajouter la prise en charge d’autres services d’entreprise tels que DNS, netlogon ou DCLocator. IAKerb ne nous oblige pas non plus à ouvrir de nouveaux ports sur la machine distante pour accepter les messages Kerberos. « .

Microsoft a l’intention d’introduire les deux nouvelles fonctionnalités Kerberos dans Windows 11 pour élargir son utilisation et relever deux défis importants conduisant au repli de Kerberos vers NTLM.

La première fonctionnalité, IAKerb, permet aux clients de s’authentifier auprès de Kerberos sur une gamme plus large de topologies de réseau. La deuxième fonctionnalité implique un centre de distribution de clés (KDC) local pour Kerberos, qui étend la prise en charge de Kerberos aux comptes locaux.

Redmond prévoit également d’étendre les contrôles de gestion NTLM, offrant ainsi aux administrateurs une flexibilité accrue dans la surveillance et la restriction de l’utilisation de NTLM au sein de leurs environnements.

« La réduction de l’utilisation de NTLM aboutira finalement à sa désactivation dans Windows 11. Nous adoptons une approche basée sur les données et surveillons les réductions de l’utilisation de NTLM pour déterminer quand il sera sûr de le désactiver », a déclaré Palko.

« En attendant, vous pouvez utiliser les contrôles améliorés que nous proposons pour prendre une longueur d’avance. Une fois désactivés par défaut, les clients pourront également utiliser ces contrôles pour réactiver NTLM pour des raisons de compatibilité. »