LEBIGDATA.FR I.A, Cloud & Cybersécurité
Des pirates exploitent une faille dans l'authentification de Windows, et ce faisant, ils se lancent dans une campagne de phishing pour subtiliser des informations personnelles.
La sécurité est primordiale, surtout dans notre ère numérique où les données sensibles sont en jeu. Toutefois, une vulnérabilité nouvellement identifiée dans Windows suscite des préoccupations quant à la capacité des pirates à compromettre vos comptes. Découvrez comment vous protéger contre cette menace croissante.
La faille d'authentification de Windows exploitée
Des hackers ont mis au jour une faille dans le système d'authentification Windows, plus précisément dans l'authentification NT LAN Manager (NTLM). Le groupe de cybercriminels TA577, déjà impliqué dans le ransomware Black Basta, orchestre une campagne de phishing sophistiquée.
Leur objectif ? Détourner les données personnelles des utilisateurs. Proofpoint, expert en sécurité des emails, a repéré cette tactique qui vise les hachages NTLM des employés. Ces hachages sont cruciaux pour l'authentification Windows, surtout quand Kerberos n'est pas applicable.
Concernant les attaquants, ils procèdent par des courriels de phishing, adoptant une méthode connue sous le nom de « thread hijacking ». Ensuite, ils joignent à leurs courriels des archives ZIP qui contiennent des fichiers HTML malveillants.
Ces fichiers, une fois ouverts, établissent une connexion automatique à un serveur externe, ce qui permet le vol des hachages NTLM. Ces informations capturées posent un grand risque, car elles peuvent être utilisées pour craquer des mots de passe et accéder à des données sensibles.
Les conséquences du vol de hachages NTLM
Notons que l'utilisation malintentionnée de ces hachages NTLM volés est variée. Ils peuvent être exploités pour des attaques de type « pass-the-hash ». Cela permet aux pirates d'usurper des identités sans avoir besoin de connaître les mots de passe.
Pour information, TA577 utilise ces hachages pour renforcer ses capacités d'attaque en détournant des comptes. En outre, ils les utilisent pour s'infiltrer plus profondément dans les réseaux compromis. Ce mode opératoire montre qu'il est important d'avoir une authentification à plusieurs facteurs et d'être plus vigilant.
Stratégies de défense et prévention
Face à de telles menaces, plusieurs mesures peuvent être mises en place pour protéger les réseaux et les informations sensibles.
Proofpoint suggère que la limitation de l'accès des invités aux serveurs SMB est insuffisante. Une solution plus radicale serait de configurer un pare-feu pour bloquer toute connexion SMB sortante.
Par ailleurs, le filtrage des emails pour bloquer les pièces jointes HTML zippées constitue une stratégie de défense essentielle. De plus, configurer les politiques de sécurité afin de limiter le trafic NTLM sortant vers des serveurs distants renforce cette protection.
Pour ceux qui utilisent Windows 11, Microsoft a introduit des fonctionnalités de sécurité améliorées pour contrer spécifiquement les attaques basées sur NTLM. Ces outils supplémentaires offrent également une couche de protection importante contre l'exploitation de cette faille d'authentification.
- Partager l'article :
