Piratage des jetons NTLM de Windows : une menace sous-estimée ?

L’attaque tire parti d’une fonction légitime du système de gestion de base de données qui permet aux utilisateurs d’établir un lien avec des sources de données externes, telles qu’une table SQL Server distante.

« Cette fonction peut être utilisée de manière abusive par les attaquants pour faire fuir automatiquement les jetons NTLM de l’utilisateur Windows vers n’importe quel serveur contrôlé par l’attaquant, via n’importe quel port TCP, tel que le port 80 », a déclaré Haifei Li, chercheur en sécurité chez Check Point. « L’attaque peut être lancée tant que la victime ouvre un fichier .accdb ou .mdb. En fait, n’importe quel type de fichier Office plus courant (tel que .rtf ) peut également fonctionner ».

NTLM, un protocole d’authentification introduit par Microsoft en 1993, est un protocole défi-réponse utilisé pour authentifier les utilisateurs lors de la connexion. Au fil des ans, il s’est avéré vulnérable aux attaques par force brute, aux attaques de type « pass-the-hash » et aux attaques par relais.

La dernière attaque en date, en un mot, abuse de la fonction de table liée d’Access pour faire fuir les hachages NTLM vers un serveur contrôlé par un acteur en incorporant un fichier .accdb avec un lien vers une base de données SQL Server distante à l’intérieur d’un document MS Word à l’aide d’un mécanisme appelé « Object Linking and Embedding » (OLE).

« Un attaquant peut mettre en place un serveur qu’il contrôle, écoutant sur le port 80, et placer son adresse IP dans le champ ‘alias de serveur’ ci-dessus », explique Li. « Il peut ensuite envoyer le fichier de la base de données, y compris la table liée, à la victime.

Si la victime ouvre le fichier et clique sur le tableau lié, le client de la victime contacte le serveur contrôlé par l’attaquant pour s’authentifier, ce qui permet à ce dernier de réaliser une attaque par relais en lançant un processus d’authentification avec un serveur NTLM ciblé dans la même organisation.

Le serveur malhonnête reçoit alors le défi, le transmet à la victime dans le cadre du processus d’authentification et obtient une réponse valide, qui est finalement transmise au serveur NTLM.

Alors que Microsoft a depuis publié des mesures d’atténuation du problème dans la version Office/Access (Current Channel), 0patch a publié des correctifs non officiels pour Office 2010 – Office 365 à la suite de la divulgation responsable en janvier 2023.

Microsoft a également annoncé son intention d’abandonner la prise en charge de NTLM dans Windows 11 en faveur de Kerberos pour améliorer la sécurité ; toutefois, cette mesure n’entrera en vigueur qu’après la sortie de Windows 11.