Microsoft a abordé une usurpation Windows LSA activement exploitée que des attaquants non authentifiés peuvent exploiter à distance pour forcer les contrôleurs de domaine à les authentifier via le protocole de sécurité Windows NT LAN Manager (NTLM).
LSA (abréviation de Local Security Authority) est un sous-système Windows protégé qui applique les politiques de sécurité locales et valide les utilisateurs pour les connexions locales et distantes.
La vulnérabilité, identifiée comme CVE-2022-26925 et signalée par Raphael John de Bertelsmann Printing Group, a été exploitée à l’état sauvage et semble être un nouveau vecteur pour l’attaque de relais PetitPotam NTLM.
Découvert par le chercheur en sécurité GILLES Lionel en juillet 2021, PetitPotam possède quelques variantes que Microsoft tente de bloquer. Cependant, à ce stade, les mesures d’atténuation officielles et les mises à jour de sécurité ultérieures ne bloquent pas entièrement tous les vecteurs PetitPotam.
Les opérateurs de ransomware LockFile ont abusé de la méthode d’attaque par relais PetitPotam NTLM pour détourner des domaines Windows et déployer des charges utiles malveillantes.
Microsoft conseille aux administrateurs Windows de vérifier les mesures d’atténuation et d’atténuation de PetitPotam contre les attaques de relais NTLM sur les services de certificats Active Directory (AD CS) pour plus d’informations sur la protection de leurs systèmes contre les attaques CVE-2022-26925.
Élévation des privilèges via l’authentification forcée
En utilisant ce nouveau vecteur d’attaque, les pirates peuvent intercepter les demandes d’authentification légitimes qui peuvent être utilisées pour élever les privilèges, permettant probablement une compromission complète du domaine.
Les attaquants ne peuvent abuser de cette faille de sécurité que dans des attaques de type « man-in-the-middle » (MITM) de haute complexité où ils doivent pouvoir intercepter le trafic entre la victime et un contrôleur de domaine pour lire ou modifier les communications réseau.
« Un attaquant non authentifié pourrait appeler une méthode sur l’interface LSARPC et contraindre le contrôleur de domaine à s’authentifier auprès de l’attaquant à l’aide de NTLM », Microsoft explique dans l’avis d’aujourd’hui.
« Cette mise à jour de sécurité détecte les tentatives de connexion anonymes dans LSARPC et les interdit. [..] Cette vulnérabilité affecte tous les serveurs, mais les contrôleurs de domaine doivent être prioritaires en termes d’application des mises à jour de sécurité. »
L’installation de ces mises à jour présente également des inconvénients sur les systèmes exécutant Windows 7 Service Pack 1 et Windows Server 2008 R2 Service Pack 1, car elles cassent les logiciels de sauvegarde de certains fournisseurs.
CVE-2022-26925 affecte toutes les versions de Windows, y compris les plates-formes client et serveur, à partir de Windows 7 et Windows Server 2008 jusqu’à Windows 11 et Windows 2022.
Microsoft a corrigé ce zero-day avec deux autres, un bug de déni de service Windows Hyper-V (CVE-2022-22713) et une faille du pilote ODBC Magnitude Simba Amazon Redshift (CVE-2022-29972), dans le cadre du mai 2022 Patch mardi.