Plus de détails ont émergé sur une vulnérabilité de contournement de fonction de sécurité dans Windows NT LAN Manager (NTLM) qui a été abordé par Microsoft dans le cadre de ses mises à jour mensuelles du Patch Tuesday au début du mois.

La faille, suivie comme CVE-2021-1678 (Score CVSS 4,3), a été décrit comme une faille “exploitable à distance” trouvée dans un composant vulnérable lié à la pile réseau, bien que les détails exacts de la faille restent inconnus.

Maintenant, selon les chercheurs de Crowdstrike, le bogue de sécurité, s’il n’est pas corrigé, pourrait permettre à un mauvais acteur de réaliser l’exécution de code à distance via un relais NTLM.

auditeur de mot de passe

“Cette vulnérabilité permet à un attaquant de relayer des sessions d’authentification NTLM vers une machine attaquée, et d’utiliser un spouleur d’imprimante MSRPC interface pour exécuter à distance du code sur la machine attaquée », les chercheurs m’a dit dans un avis de vendredi.

Les attaques de relais NTLM sont une sorte d’attaques de type “ man-in-the-middle ” (MitM) qui permettent généralement aux attaquants ayant accès à un réseau d’intercepter le trafic d’authentification légitime entre un client et un serveur et de relayer ces demandes d’authentification validées afin d’accéder aux services réseau .

Les exploits réussis pourraient également permettre à un adversaire d’exécuter du code à distance sur une machine Windows ou de se déplacer latéralement sur le réseau vers des systèmes critiques tels que des serveurs hébergeant des contrôleurs de domaine en réutilisant les informations d’identification NTLM dirigées vers le serveur compromis.

Alors que de telles attaques peuvent être contrarié par signature SMB et LDAP et activation de la protection renforcée pour l’authentification (EPA), CVE-2021-1678 exploite une faiblesse dans MSRPC (Microsoft Remote Procedure Call) qui le rend vulnérable à une attaque de relais.

Plus précisément, les chercheurs ont découvert qu’IRemoteWinspool – une interface RPC pour la gestion du spouleur d’imprimante à distance – pouvait être exploitée pour exécuter une série d’opérations RPC et écrire des fichiers arbitraires sur une machine cible à l’aide d’une session NTLM interceptée.

Microsoft, dans un document de support, a déclaré qu’il corrigeait la vulnérabilité en “augmentant le niveau d’authentification RPC et en introduisant une nouvelle stratégie et une nouvelle clé de registre pour permettre aux clients de désactiver ou d’activer le mode d’application côté serveur pour augmenter le niveau d’authentification”.

En plus d’installer la mise à jour Windows du 12 janvier, la société a exhorté les organisations à activer le mode d’application sur le serveur d’impression, un paramètre qui, selon elle, sera activé par défaut sur tous les appareils Windows à partir du 8 juin 2021.



Leave a Reply