Une récente découverte par Varonis Threat Labs concerne une vulnérabilité dans Microsoft Outlook, CVE-2023-35636, ainsi que de nouvelles façons d’accéder aux mots de passe hachés NTLM v2 en exploitant Outlook, Windows Performance Analyzer et l’Explorateur de fichiers Windows.
La vulnérabilité CVE-2023-35636 se trouve dans la fonction de partage de calendrier d’Outlook.
Des attaquants peuvent intercepter les hachages NTLM v2 en insérant des en-têtes spécifiques dans un email.
Ce type d’exploit est considéré comme important et Microsoft a déjà publié un correctif.
Concernant NTLM v2, c’est un protocole cryptographique utilisé par Windows pour authentifier les utilisateurs.
Les hachages NTLM v2 sont vulnérables à des attaques par force brute hors ligne et des attaques de relais d’authentification.
Dans une attaque par force brute hors ligne, l’attaquant utilise le hachage NTLM v2 pour générer des mots de passe jusqu’à trouver le bon.
Dans une attaque de relais d’authentification, l’attaquant intercepte une demande d’authentification NTLM v2 et la transmet à un autre serveur.
Les exploits découverts comprennent l’utilisation de deux en-têtes spécifiques dans Outlook pour rediriger les mots de passe hachés.
Un exploit dans Windows Performance Analyzer où un gestionnaire d’URI peut conduire à une authentification utilisant NTLM v2 sur le web.
Deux méthodes dans l’Explorateur de fichiers Windows qui exploitent les paramètres ‘subquery’ et ‘crumb’ pour extraire les hachages NTLM v2.
Pour se protéger contre ces attaques NTLM v2, il est recommandé :
1) D’utiliser la signature SMB pour sécuriser le trafic SMB.
2) Bloquer l’authentification NTLM v2 sortante, particulièrement sur les versions récentes de Windows. (windows 11)
3) De privilégier l’authentification Kerberos lorsque c’est possible.
4) Appliquer les mises à jour : Microsoft a pris en compte ces vulnérabilités et a classé leur gravité, en fournissant des correctifs pour les adresses.
=> Il est crucial de maintenir les systèmes Microsoft à jour avec ces correctifs de sécurité pour se protéger contre de telles vulnérabilités.
Source : https://lnkd.in/eqZ_TH-T