CrowdStrike partage les détails de la faille Windows NTLM dernièrement corrigée
Parmi les failles corrigées par Microsoft lors du Patch Tuesday de Janvier 2021, il existe une seule qui risquerait de permettre à un pirate informatique de remplacer des sessions d’authentification NTLM, puis d’exécuter du code à distance, via une interface MSRPC du spouleur d’imprimante.
La faille est référencée CVE-2021-1678, et cette dernière a été décrite par Microsoft comme étant un contournement de la fonctionnalité de sécurité NT LAN Manager (NTLM), et a été jugée d’une haute importance pour l’ensemble des versions de Windows affectées, comme : Windows Server, Server 2012 R2, Server 2008, Server 2016, Server 2019, RT 8.1, 8.1, 7 et 10. Le bug a été identifié et signalé par la société de sécurité Preempt, acquise récemment par CrowdStrike. Crowdstrike a expliqué dans un article qui détaillait le problème que les procédés d’attaque par relais NTLM ne sont pas rares et que le relais des authentifications NTLM vers un autre protocole (comme SMB, LDAP/S et MSRPC) est possible lorsque les protections requises ne sont pas présentes.
La faille référencée CVE-2021-1678, d’après les chercheurs en sécurité de CrowdStrike, réside dans l’interface IRemoteWinSpool MSRPC, une interface d’appel de procédure à distance d’imprimante (RPC) conçue pour la gestion du spouler d’imprimante à distance. Les chercheurs ont aussi expliqué que MSRPC est principalement vulnérable aux attaques de relais, car à un niveau d’authentification de RPC_C_AUTHN_LEVEL_CONNECT, l’utilisateur s’authentifie pendant la demande initiale, mais aucun cryptage ou signature n’est appliquée sur les commandes transférées. De ce fait, un pirate capable d’établir une session NTLM avec une machine cible peut s’attacher à l’interface IRemoteWinspool et choisir le niveau d’authentification faible, relayer l’authentification NTLM vers la machine de l’attaquant, puis exécuter des commandes RPC. Les chercheurs de CrowdStrike ont déclaré qu’ils disposent d’un code de preuve de concept (POC) fonctionnel, mais qu’ils ne publieront pas pour le moment.
Le problème a été corrigé par Microsoft avec l’ajout de vérifications convenables permettant de s’assurer que le niveau d’authentification du client n’est pas faible et afin de rejeter les appels au cas où il le serait. Néanmoins, la vérification s’effectue uniquement si une valeur de registre spécifique est définie, autrement le système reste vulnérable. La société de technologie explique également que, bien que les connexions RPC vulnérables soient toujours autorisées à la suite de cette mise à jour, une phase d'application débutera le 8 juin 2021, mettant en œuvre «les changements pour traiter la CVE-2020-1678 en augmentant le niveau d'autorisation sans avoir à définir la valeur de registre. »