Un nouveau patch de sécurité, non officiel, a été publié pour une nouvelle faille zero-day découverte dans Windows et qui pourrait permettre à un attaquant de voler les identifiants NTLM à distance. Faisons le point sur cette menace.
Si vous lisez régulièrement nos articles, vous le savez : le protocole d’authentification NTLM est vulnérable à plusieurs attaques, dont les attaques par relais NTLM et les attaques Pass-the-Hash. Avec cette seconde méthode, d’ailleurs, l’objectif de l’attaquant est de voler les hash NTLM sur votre machine pour les réutiliser sur un autre système afin de s’authentifier avec le compte de l’utilisateur compromis.
Dernièrement, un exploit PoC a été publié pour la CVE-2024-43532, une faille de sécurité permettant de réaliser une attaque par relais NTLM. Mais, elle n’est pas directement concernée par cet article, contrairement à NTLM.
Une nouvelle faille zero-day liée à Windows Themes
Récemment, les chercheurs en sécurité de chez ACROS Security ont travaillé sur le développement d’un correctif de sécurité pour la CVE-2024-38030, une vulnérabilité corrigée en juillet 2024 par Microsoft. Il s’agit d’une faille de sécurité qui est un bypass de la CVE-2024-21320 déjà patchée par Microsoft.
C’est à ce moment-là qu’ils ont fait la découverte d’une nouvelle faille zero-day dans le composant de Windows chargé de l’installation des thèmes permettant de personnaliser l’interface. Cette nouvelle vulnérabilité, remontée à Microsoft, n’a pas encore de référence CVE.
« Lorsqu’un fichier de thème spécifie un chemin d’accès réseau pour certaines propriétés du thème (notamment BrandImage et Wallpaper), Windows envoie automatiquement des requêtes réseau authentifiées à des hôtes distants, y compris les informations d’identification NTLM de l’utilisateur lorsque ce fichier de thème est visualisé dans l’Explorateur Windows.« , peut-on lire dans le rapport.
Comme le montre la vidéo de démonstration ci-dessous, le simple fait de copier-coller sur une machine un fichier thème malveillant peut faire fuiter les informations d’identification NTLM de l’utilisateur. Il n’y a pas besoin que l’utilisateur ouvre le fichier thème pour que l’exploit soit déclenché.
Ce problème de sécurité est présent sur une machine Windows totalement à jour, et elle affecte aussi bien une machine sous Windows 7 qu’une machine sous Windows 11 24H2.
Un patch de sécurité non officiel
Par l’intermédiaire de son service de micropatching nommé 0patch, la société ACROS Security, propose gratuitement un correctif de sécurité pour combler cette nouvelle faille de sécurité zero-day. Il vient donc patcher de façon plus large la CVE-2024-38030.
Il peut s’avérer utile pour protéger les machines, y compris celles avec un système plus pris en charge par Microsoft. Il y a des chances qu’un correctif de sécurité officiel soit intégré au Patch Tuesday de Novembre 2024 prévu pour le mardi 12 novembre 2024, mais cela n’est qu’une hypothèse.