Team of young multi-ethnic specialists in glasses standing at server and using tablet while managing network server together in data center

Débarrasser votre réseau de NTLM

Lucas Morel

Le chemin pour éradiquer cet ancien gouffre protocolaire et sécuritaire ne sera pas facile, mais le moment est venu de son éradication complète.

Microsoft a fait allusion à plusieurs reprises à la fin possible de NTLM, mais avec un certain nombre de Windows 95 ou 98 utilisés qui ne prennent pas en charge l’alternative Kerberos, ce ne sera pas une tâche facile à réaliser. Il existe la possibilité de désactiver NTLM lors de l’utilisation d’Azure Active Directory, mais ce n’est pas toujours la meilleure alternative.

Qu’est-ce que NTLM

L’acronyme est quelque peu impropre : il signifie Windows New Technology LAN Manager et rappelle le système d’exploitation de serveur réseau original de Microsoft, apparu pour la première fois en 1993. Windows NT est né d’un divorce ardent avec le système d’exploitation OS/2 d’IBM et a utilisé NTLM comme protocole d’authentification par défaut. Au cours de la décennie suivante, c’était le lieu de prédilection de Microsoft pour l’authentification unique, avant que les SSO ne deviennent une catégorie de produits majeure à part entière.

NTLM rappelle une autre époque de connectivité : lorsque les réseaux n’étaient que des connexions locales aux serveurs de fichiers et d’impression. À l’époque, Internet était encore loin d’être un produit commercial et le Web était encore largement considéré comme un projet expérimental suisse. Cette orientation locale hantera les responsables de la sécurité dans les décennies à venir.

En effet, contrairement aux SSO modernes, NTLM utilise une boîte de dialogue simpliste qui authentifie les utilisateurs sans nécessiter beaucoup de sécurité par mot de passe. Comme vous pouvez l’imaginer, ce n’est pas un bon moyen d’authentifier quoi que ce soit, ce qui fait que Microsoft tente de supprimer cet ancien protocole depuis des années. Il a déclaré au monde pour la première fois en 2009 que NTLM n’était fondamentalement pas sécurisé et devait être supprimé. Ce message n’a pas atterri et l’utilisation de NTLM s’est poursuivie sans relâche.

Pourquoi NTLM n’est pas sûr

En conséquence, de nombreuses applications l’ont intégré à leurs processus d’authentification, sur lequel les pirates comptent pour leurs exploits. Ces exploits apparaissent régulièrement, avec des réponses variables de la part de Microsoft. La plus récente inclut une attaque de contournement NTLMv1 découverte récemment par Silverfort. Cette attaque est remarquable dans la mesure où elle peut se produire même lorsque NTLMv1 a été désactivé par un mécanisme de stratégie de groupe à l’échelle du réseau. Le fournisseur affirme que cela a motivé Microsoft à supprimer le protocole de Windows 11 version 24H2 et de Windows Server 2025.

Un autre exploit découvert en décembre dernier par les chercheurs de 0patch était également une attaque de contournement : un fichier malveillant affiché dans l’Explorateur permet à un attaquant d’obtenir des informations d’identification NTLM. Il s’agit de la quatrième vulnérabilité NTLM trouvée. Les autres étaient PetitPotam, PrinterBug/SpoolSample et DFSCoerce.

« Tous ces éléments sont présents sur toutes les dernières versions de Windows entièrement mises à jour, et si votre organisation utilise NTLM pour une raison quelconque, cela pourrait être affecté », ont écrit les chercheurs. Un seul de ces cinq exploits a été corrigé ou a reçu des numéros CVE, la seule exception étant PetitPotam qui a reçu CVE-2021-36942 puis CVE-2022-26925.

En 2023, des chercheurs ont découvert une autre attaque de relais et de vol de hachage qui fonctionne en envoyant un e-mail spécialement conçu qui ne nécessite pas qu’un utilisateur l’ouvre ou clique dessus. Celui-ci a reçu le CVE 2023-23397.

Les chercheurs de Beyond Trust décrivent ses opérations : « La vulnérabilité est déclenchée lorsqu’un attaquant envoie une invitation de calendrier ou un rendez-vous spécialement conçu à l’adresse e-mail d’une victime cible. Cette invitation contient des propriétés supplémentaires qui amènent Outlook à établir une connexion SMB (blocage de messages du serveur) et à déclencher l’authentification NTLM sur un serveur sur Internet sous le contrôle de l’attaquant. À partir de là, l’attaquant peut capturer les hachages NTLM et les utiliser pour s’authentifier en tant que victime, ce qui pourrait entraîner une élévation des privilèges et une nouvelle compromission de l’environnement.

Outre le manque de sécurité des mots de passe, NTLM présente plusieurs autres comportements qui en font le paradis des pirates. Premièrement, il ne nécessite aucune connexion locale à un domaine Windows. Cela est également nécessaire lorsque vous utilisez un compte local et lorsque vous ne savez pas qui est le serveur cible prévu. En plus de ces faiblesses, il a été inventé il y a si longtemps – en fait avant même qu’Active Directory ne soit envisagé – qu’il ne prend pas en charge les techniques cryptographiques modernes, ce qui rend son système de hachage simple et non salé trivialement facile à casser et à décoder.

Kerberos contre NTLM

Heureusement, ces techniques modernes font partie des protocoles Kerberos, par lesquels Microsoft tente de remplacer NTLM au cours des dernières années. Depuis Windows Server 2000, il s’agit du choix par défaut pour l’authentification. « NTLM s’appuie sur une négociation à trois entre le client et le serveur pour authentifier un utilisateur », a écrit Narendran Vaideeswaran de Crowdstrike dans un blog en avril 2023. « Kerberos utilise un processus en deux parties qui exploite un service d’octroi de tickets ou un centre de distribution de clés. » Ce processus de ticket signifie que Kerberos est sécurisé de par sa conception, ce qui n’a jamais pu être revendiqué pour NTLM.

L’une des raisons du règne durable du NTLM est qu’il était facile à mettre en œuvre. En effet, lorsque Kerberos (ou autre chose) ne fonctionnait pas correctement, NTLM était le choix de secours, ce qui signifie que si un utilisateur ou une application tente de s’authentifier avec Kerberos et échoue, il essaie automatiquement (dans la plupart des cas) d’utiliser les protocoles NTLM. . « Par exemple, si vous avez des groupes de travail avec des comptes d’utilisateurs locaux, où l’utilisateur est authentifié directement par le serveur d’applications, Kerberos ne fonctionnera pas », a écrit TechRepublic. Microsoft a déclaré que les utilisateurs locaux représentent encore un tiers de l’utilisation de NTLM, l’une des raisons pour lesquelles Microsoft souhaite conserver ses anciens systèmes. Un autre problème est le protocole utilisé pour implémenter les services Bureau à distance, qui peuvent souvent recourir à NTLM. Cependant, « Microsoft prend en charge les configurations de sécurité héritées bien au-delà de leur date d’expiration », écrit Adrian Amos dans un article de blog de novembre 2023.

Les appels de Microsoft pour encourager le remplacement de NTLM étaient quelque peu fallacieux puisqu’il n’existait pas de solution simple. Au milieu des années 1990, ils ont proposé une version 2 mise à jour de NTLM, censée résoudre certains problèmes de sécurité. Ce fut un effort sans enthousiasme, et la v2 regorge toujours d’exploits. Un Un utilisateur X a posté ce commentaire en avril: «Pendant environ une décennie ou plus, Microsoft a adopté une approche selon laquelle les clients qui souhaitaient être fondamentalement plus sécurisés devaient soit posséder une expertise et une détermination significatives pour mettre en œuvre des éléments non par défaut et obscurs, soit passer à l’utilisation de ses nouveaux éléments MS cloud. Mais maintenant, Microsoft lance enfin un effort majeur pour réellement aider les clients à abandonner NTLM sans rompre de manière inacceptable la compatibilité.

Cela s’est produit l’automne dernier, lorsque Microsoft a documenté l’évolution des services d’authentification Windows. Ils ont déclaré qu’ils « élargissaient la fiabilité et la flexibilité de Kerberos et réduisaient les dépendances à l’égard de NTLM ». Cet article mentionne un outil d’audit capable de découvrir les instances NTLM sur vos réseaux et une fonctionnalité appelée IAKerb qui permet aux clients d’utiliser Kerberos dans des topologies de réseau plus diverses et ajoute le cryptage à la boîte de dialogue d’authentification. Cependant, NTLM est toujours présent comme option de secours. À terme, NTLM sera complètement désactivé dans Windows 11, bien qu’aucun calendrier précis n’ait été indiqué.

Comment se débarrasser de NTLM

Mais abandonner complètement NTLM ne sera pas facile. Les entreprises doivent suivre une série d’étapes pour enfin se débarrasser du fléau du NTLM. Tout d’abord, vous devez effectuer un audit de protocole qui découvrira tous les différents recoins et applications cachées dans lesquels il réside, y compris les anciens clients qui exécutent des versions non corrigées et anciennes de Windows (telles que Windows 95 ou 98) qui ne peuvent pas prendre en charge Kerberos.

Cet audit pourrait révéler où vous avez utilisé NTLM dans vos propres applications. Cela nécessitera, dit Amos, « d’introduire un nouveau mécanisme d’authentification Kerberos locale dans chaque client Windows, ce qui signifie nettoyer les anciennes configurations et le code. Il s’agira d’un progrès herculéen qui devra être abordé par chaque strate de l’équipe de développement d’une entreprise et littéralement chaque application du portefeuille MS devra être examinée pour s’assurer qu’elle prend en charge l’authentification Kerberos. Cet ascenseur n’est peut-être pas aussi pénible qu’il le cite, par exemple, vous devez modifier toutes les chaînes d’authentification dans votre propre code de « ntlm » à « négocier » pour permettre une meilleure sécurité.

Deuxièmement, mettez en place des blocages spécifiques. Vaideeswaran suggère : « pour être entièrement protégé contre les attaques par relais NTLM, vous devrez activer la signature de serveur et l’EPA sur tous les serveurs concernés et vous devrez entièrement appliquer les dernières mises à jour de sécurité Microsoft. Vous devez également restreindre tout trafic réseau NTLM en définissant un objet de stratégie de groupe pour refuser les réponses NTLM. De plus, vous pouvez configurer les clients SMB pour bloquer NTLM dans les versions préliminaires plus récentes de Windows 11 et Windows Server.

Enfin, configurez Kerberos pour prendre en charge les adresses IP afin de prendre en charge les noms principaux de service, comme Microsoft l’a souligné en 2021. Ceci est activé en modifiant une entrée de registre sur chaque point de terminaison. Ceci est essentiel si votre réseau dispose d’équilibreurs de charge pour répartir le trafic TCP/IP, par exemple.

Pour contribuer à ces efforts, l’automne dernier, Microsoft a organisé un webinaire d’une heure sur les nouveautés et contient d’autres conseils sur la façon de migrer hors de NTLM et sur les moyens par lesquels les entreprises peuvent renforcer leur sécurité des informations. Il est certainement temps d’apporter ces changements et d’empêcher de futurs exploits.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

La société de cannabis Aphria parvient à un accord pour régler la poursuite des actionnaires
La société de cannabis Aphria parvient à un accord pour régler la poursuite des actionnaires
Hacker Bringen Falsche Rechnungen à Umlauf
Hacker Bringen Falsche Rechnungen à Umlauf
System Administrator Working in a Dark Research Facility on a Computer with Multiple Displays. Software Developer in Casual Clothes Wearing Headphones and Updating Server System Database
Les 5 principales façons dont les attaquants utilisent une IA générative pour exploiter vos systèmes