+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    3 125
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 3 125
    Points : 70 946
    Points
    70 946

    Par défaut Microsoft corrige une faille dans le protocole d'authentification NTLM de Windows utilisé sur les réseaux

    Microsoft corrige une faille dans le protocole d'authentification NTLM de Windows utilisé sur les réseaux,
    qui permet à un pirate de subtiliser des MdP

    NT LAN Manager (NTLM) est le protocole d'authentification utilisé sur les réseaux qui incluent les systèmes exécutant le système d'exploitation Windows et sur les systèmes autonomes. Depuis Windows 2010, le protocole Kerberos est venu remplacer NTLM. Même si, comme Microsoft l’indique, le package de sécurité Microsoft Kerberos ajoute une plus grande sécurité que NTLM aux systèmes sur un réseau, NTLM est toujours supporté

    Les informations d'identification NTLM sont basées sur les données obtenues au cours du processus d'ouverture de session interactive et se composent d'un nom de domaine, d'un nom d'utilisateur et d'un hachage unidirectionnel du mot de passe de l'utilisateur. NTLM utilise un protocole de défi/réponse chiffré pour authentifier un utilisateur sans envoyer le mot de passe de l'utilisateur sur le réseau. Au lieu de cela, le système demandant l'authentification doit effectuer un calcul qui prouve qu'il a accès aux informations d'identification NTLM sécurisées.

    L'authentification NTLM interactive sur un réseau implique généralement deux systèmes : un système client, où l'utilisateur demande une authentification, et un contrôleur de domaine, où les informations relatives au mot de passe de l'utilisateur sont conservées. L'authentification non interactive, qui peut être requise pour permettre à un utilisateur déjà connecté d'accéder à une ressource telle qu'une application serveur, implique généralement trois systèmes : un client, un serveur et un contrôleur de domaine qui effectue les calculs d'authentification pour le serveur.

    Cependant, une faille a été découverte et qui pourrait permettre à un pirate de subtiliser les mots de passe haché Windows NTLM sans l’intervention de l’utilisateur. Le hack est relativement facile à réaliser et n'implique pas de compétences techniques avancées pour le faire. Tout ce dont l'attaquant a besoin c’est de placer un fichier SCF malveillant dans les dossiers Windows accessibles au public.

    SCF signifie Shell Command File et est un format de fichier qui prend en charge un ensemble très limité de commandes Windows Explorer, telles que l'ouverture d'une fenêtre de l'Explorateur Windows ou l'affichage du bureau.

    Une fois le fichier placé dans le dossier, il peut collecter le hachage de mot de passe NTLM de la cible et l'envoyer à un serveur configuré par l'attaquant. En utilisant un logiciel disponible publiquement, un attaquant pourrait casser le hachage de mot de passe NTLM et accéder plus tard à l'ordinateur de l'utilisateur.

    Un tel piratage permettrait à un attaquant qui a une connexion directe avec le réseau d'une victime d'élever ses privilèges. Il pourrait donc créer des comptes administrateurs sur un domaine et par conséquent d'en prendre le contrôle.

    Il faut noter que ce ne sont pas tous les ordinateurs avec des fichiers partagés qui sont vulnérables. En effet, les ordinateurs disposant de dossiers partagés protégés par un mot de passe ne sont pas vulnérables. En clair, seuls les utilisateurs qui partagent des dossiers sans mot de passe, parfois pour des raisons de commodité à l’instar des établissements scolaires, sont vulnérables.

    Dans son patch Tuesday, Microsoft a déployé un correctif pour les versions récentes de son système d’exploitation. Dans son bulletin de sécurité, l’entreprise a expliqué que « Toutes les versions de Windows qui utilisent NTLM sont sensibles à ce type d'attaque. Microsoft publie ce nouveau comportement uniquement sur les plateformes Windows 10 et Server 2016 en raison des limitations dans les anciennes versions du pare-feu Windows, qui empêchent les anciens systèmes d'exploitation d'utiliser ce nouveau comportement. Microsoft recommande aux clients d'effectuer la mise à niveau vers les offres les plus récentes et les plus sécurisées. »

    Source : MSDN, bulletin de sécurité Microsoft
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert éminent sénior
    Avatar de Médinoc
    Homme Profil pro
    Développeur informatique
    Inscrit en
    septembre 2005
    Messages
    26 526
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : septembre 2005
    Messages : 26 526
    Points : 38 368
    Points
    38 368

    Par défaut

    Dans son patch Tuesday, Microsoft a déployé un correctif pour les versions récentes de son système d’exploitation. Dans son bulletin de sécurité, l’entreprise a expliqué que « Toutes les versions de Windows qui utilisent NTLM sont sensibles à ce type d'attaque. Microsoft publie ce nouveau comportement uniquement sur les plateformes Windows 10 et Server 2016 en raison des limitations dans les anciennes versions du pare-feu Windows, qui empêchent les anciens systèmes d'exploitation d'utiliser ce nouveau comportement. Microsoft recommande aux clients d'effectuer la mise à niveau vers les offres les plus récentes et les plus sécurisées. »
    Ça, ça sent le mensonge pour couvrir la paresse. Ce genre de truc devrait, en plus de leurs modifs "de pare-feu" se corriger dans Explorer lui-même pour éviter qu'il fasse n'importe quoi avec un fichier .scf qui référence une icône non-locale...

    Récupérer l'icône d'un fichier .scf est une fonctionnalité non-essentielle de Windows, donc une qui, si elle n'est pas patchée, devrait être désactivée par mise à jour.

    Edit: Et pour ça, il y a un moyen très simple: Supprimer/renommer la clé HKEY_CLASSES_ROOT\SHCmdFile\shellex\IconHandler.
    SVP, pas de questions techniques par MP. Surtout si je ne vous ai jamais parlé avant.

    "Aw, come on, who would be so stupid as to insert a cast to make an error go away without actually fixing the error?"
    Apparently everyone.
    -- Raymond Chen.
    Traduction obligatoire: "Oh, voyons, qui serait assez stupide pour mettre un cast pour faire disparaitre un message d'erreur sans vraiment corriger l'erreur?" - Apparemment, tout le monde. -- Raymond Chen.

Discussions similaires

  1. Réponses: 3
    Dernier message: 29/06/2017, 14h21
  2. Microsoft corrige une faille de sécurité dans Windows Defender
    Par Patrick Ruiz dans le forum Sécurité
    Réponses: 5
    Dernier message: 10/05/2017, 12h14
  3. Réponses: 0
    Dernier message: 15/09/2016, 12h56
  4. Réponses: 2
    Dernier message: 30/06/2016, 13h23
  5. Microsoft découvre une faille dans MFC
    Par Gordon Fowler dans le forum Actualités
    Réponses: 18
    Dernier message: 14/07/2010, 14h42

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo