Les thèmes Windows continuent de compromettre les identifiants des utilisateurs
Il a été découvert que certains thèmes Windows comportent une vulnérabilité permettant de compromettre les identifiants NTLM des utilisateurs. Cette faille de sécurité, qui persiste même après certaines corrections, peut être exploitée simplement en affichant un fichier de thème dans l’Explorateur de fichiers, ce qui entraîne l’envoi non autorisé des informations d’authentification à des hôtes distants. Malgré les efforts de Microsoft pour régler ce problème, de nouvelles vulnérabilités continuent d’émerger, incitant les développeurs de solutions tierces comme 0patch à publier des correctifs non officiels pour protéger les systèmes des utilisateurs.
Depuis des années, une vulnérabilité récurrente affecte les systèmes Windows via l’utilisation de thèmes personnalisés. Ces thèmes peuvent potentiellement exposer les identifiants NTLM des utilisateurs en exploitant certaines configurations réseau. Malgré les efforts de Microsoft pour résoudre ce problème, de nouvelles failles continuent d’émerger. Ce phénomène a récemment été mis en lumière par l’équipe de 0patch qui a pris les devants pour fournir des correctifs non officiels afin de protéger les utilisateurs.
Sommaire
Découverte de la vulnérabilité dans les thèmes Windows
En 2023, le chercheur en sécurité Tomer Peled d’Akamai a découvert que certains thèmes Windows pouvaient exploiter une fonctionnalité de réseau pour envoyer les identifiants NTLM des utilisateurs de manière involontaire. En spécifiant un chemin réseau dans certaines propriétés du thème, Windows initie automatiquement des requêtes réseau avec les identifiants de l’utilisateur, simplement en affichant le fichier du thème dans l’explorateur de fichiers.
Cette vulnérabilité, identifiée sous le code CVE-2024-21320, a été corrigée après signalement par Microsoft. Cependant, les chercheurs ont également identifié un problème connexe qui continue d’exposer les identifiants NTLM par le biais de fichiers de thème malveillants.
0patch intervient avec un correctif
Face à une nouvelle fuite zero-day, détectée lors du développement d’une micropatch pour une faille connue sous le code CVE-2024-38030, 0patch a développé une série de correctifs non officiels pour combler cette brèche. Mitja Kolsek, CEO d’ACROS Security, a montré dans une vidéo comment un fichier de thème malveillant sur un Windows 11 à jour peut établir une connexion réseau et exposer les identifiants de l’utilisateur.
Les micropatchs gratuits mis à disposition par ACROS Security permettent une protection temporaire en attendant que Microsoft publie une solution officielle pour la nouvelle vulnérabilité détectée.
Comprendre le protocole NTLM et l’attaque par pass-the-hash
Le protocole NTLM (NT LAN Manager) est utilisé pour l’authentification dans les systèmes Windows et a été prédominant avant l’adoption de Kerberos. Plutôt que d’envoyer les mots de passe en clair, NTLM utilise un hash des mots de passe, connu sous le nom de NTLM hash.
Ce mécanisme, bien qu’utile, est vulnérable aux attaques pass-the-hash. Cela signifie que des attaquants peuvent se servir de ce hash pour s’authentifier sur un système sans connaître réellement le mot de passe, rendant ainsi la sécurisation des réseaux utilisant NTLM critique.
Comparaison des Risques et Solutions des Thèmes Windows
| Axe de Comparaison | Description |
| Découverte de la vulnérabilité | En 2023 par Tomer Peled d’Akamai |
| Problème principal | Transmission automatique des identifiants NTLM |
| Mécanisme d’attaque | Utilisation de chemins réseau dans les thèmes |
| Impact | Risque de vol d’identifiants à distance |
| Rôle des thèmes | Exposition des informations d’utilisateur |
| Anciens problèmes | Problèmes similaires en 2020 |
| Réponse de Microsoft | Mise à jour avec correction officielle |
| Solution intermédiaire | Micropatch par 0patch |
| Technologie de défense | Utilisation du Kerberos recommandé |
| Attaque associée | Exploit pass-the-hash |
Commentaires
Laisser un commentaire