Bulletins

Une mise à jour de sécurité pour une attaque Windows NTLM Relay

bs1.jpg

Lors du Patch Tuesday de mai 2022, Microsoft a publié une mise à jour de sécurité pour une attaque NTLM Relay activement exploitée, appelée "Windows LSA Spoofing Vulnerability" et suivie sous le nom de CVE-2022-26925.

"Un attaquant non authentifié pourrait appeler une méthode sur l'interface LSARPC et contraindre le contrôleur de domaine à s'authentifier auprès de l'attaquant en utilisant NTLM. Cette mise à jour de sécurité détecte les tentatives de connexion anonyme dans LSARPC et les interdit."

Bien que Microsoft n'ait pas partagé trop de détails sur le bogue, elle a déclaré que la correction affectait la fonction OpenEncryptedFileRaw(A/W) de l'API EFS, ce qui indique qu'il pourrait s'agir d'un autre vecteur non corrigé pour l'attaque PetitPotam.

PetitPotam est une attaque par relais NTLM répertoriée sous le nom de CVE-2021-36942 que le chercheur en sécurité français GILLES Lionel a découvert, alias Topotam, en juillet.

L'attaque PetitPotam permettait à des utilisateurs non authentifiés d'utiliser la fonction EfsRpcOpenFileRaw de l'API MS-EFSRPC pour forcer un appareil à effectuer une authentification NTLM contre des serveurs contrôlés par l'attaquant.

Ce type d’attaques pose des problèmes importants car ils pourraient permettre à un acteur menaçant de prendre le contrôle total d’un domaine.

Bien que Microsoft ait corrigé une partie de la vulnérabilité PetitPotam en août 2021, il y avait encore des vecteurs non corrigés qui permettaient aux attaquants d'abuser de ce bug.

Raphael John, à qui Microsoft attribue la découverte de la nouvelle vulnérabilité NTLM Relay, affirme avoir découvert que PetitPotam fonctionnait toujours en effectuant des pentests en janvier et en mars.

Cependant, lorsqu'il l'a révélée à Microsoft, celle-ci l'a corrigée sous un nouveau CVE plutôt que sous le CVE original attribué à PetitPotam.

"J'ai indiqué très clairement dans le rapport qu'il s'agissait uniquement de PetitPotam et que je n'avais rien découvert ou changé", a déclaré Raphael John.