Une faille de sécurité zero-day critique vient d’être découverte dans toutes les versions du système d’exploitation de Microsoft, de Windows 7 à Windows 11 version 24H2, ainsi que les éditions serveur de Windows.
Cette faille de sécurité permet aux attaquants de voler les identifiants NTLM (New Technology LAN Manager) simplement en amenant l’utilisateur à ouvrir un fichier malveillant.
Une faille qui touche toutes les versions de Windows
Le même jour où Microsoft annonçait l’élargissement du déploiement de Windows 11 24H2, l’équipe de 0patch a révélé une vulnérabilité critique affectant toutes les versions de Windows, de Windows 7 et Server 2008 R2 jusqu’à la dernière mise à jour de Windows 11 et Server 2022.
D’après les chercheurs de 0patch :
La vulnérabilité permet à un attaquant d’obtenir les identifiants NTLM d’un utilisateur en lui faisant simplement visualiser un fichier malveillant dans l’Explorateur Windows. Cela peut se produire en ouvrant un dossier partagé ou une clé USB contenant ce fichier, ou en visualisant le dossier Téléchargements où ce fichier a été automatiquement enregistré depuis une page web malveillante.
À noter que Windows Server 2025, lancé en novembre dernier, ne figure pas encore sur la liste des systèmes affectés. Selon Mitja Kolsek, cofondateur de 0patch, cette version est encore en phase de tests de compatibilité en raison des améliorations liées à NTLM. Les correctifs zero-day pour cette version seront disponibles une fois les tests terminés.
NTLM : un protocole obsolète et risqué
Le protocole NTLM (New Technology LAN Manager) est un ancien système d’authentification développé par Microsoft. Il permet de vérifier l’identité des utilisateurs sur un réseau via un échange sécurisé, sans transmettre directement les mots de passe.
Bien que NTLM ait été une avancée significative à son époque, il est aujourd’hui considéré comme dépassé en termes de sécurité. Ses principales faiblesses résident dans :
- la vulnérabilité des identifiants hashés : les « hashes » NTLM capturés peuvent être utilisés pour des attaques par force brute ou des attaques dites « Pass-the-Hash » ;
- l’absence de chiffrement fort : contrairement à des protocoles plus récents, NTLM ne chiffre pas intégralement les échanges, ce qui le rend vulnérable aux attaques de type « Man-in-the-Middle » ;
- une faible résistance aux attaques modernes : plusieurs exploits, comme PetitPotam ou PrinterBug, ont démontré les limites de NTLM face aux nouvelles cyberattaques.
Malgré ces lacunes, NTLM reste encore utilisé dans de nombreuses entreprises, notamment pour l’authentification locale sur des réseaux internes et lorsque des systèmes anciens ou des logiciels non compatibles avec des protocoles modernes restent utilisés.
Cependant, Microsoft encourage fortement la transition vers des alternatives plus sûres comme Kerberos ou Azure Active Directory, qui offrent un meilleur niveau de protection et une compatibilité avec les standards modernes de cybersécurité.
Microsoft pris de court, mais un correctif non officiel est disponible
Pour l’instant, aucun correctif officiel n’a été publié par Microsoft, bien que la faille ait été signalée. Cependant, 0patch a déjà mis à disposition un patch temporaire pour protéger les systèmes.
Pour installer ce correctif :
- Rendez-vous sur 0patch Central.
- Créez un compte gratuit.
- Téléchargez et appliquez le correctif sur votre ordinateur.
Que faire en attendant un correctif officiel ?
En attendant une mise à jour officielle de Microsoft, voici quelques recommandations pour réduire les risques :
- Appliquer le correctif temporaire de 0patch.
- Éviter d’ouvrir des fichiers ou dossiers non vérifiés, en particulier ceux provenant de sources externes comme des partages réseau ou des clés USB.
- Renforcer les paramètres NTLM en restreignant son utilisation via des stratégies de groupe ou des outils de sécurité.
- Surveiller les annonces de Microsoft pour appliquer rapidement un correctif officiel dès sa disponibilité.