Comment se défendre contre une attaque par relais NTLM ?

L'attaque par relais NTLM constitue une menace importante pour les organisations qui utilisent Active Directory. Cette attaque exploite le protocole d'authentification NT LAN Manager (NTLM), un mécanisme défi-réponse utilisé dans les réseaux Windows pour l'authentification des utilisateurs. Les attaques par relais NTLM ne sont pas seulement une relique des problèmes de sécurité du passé, mais un risque présent et actif.

Lecture connexe : Meilleures pratiques en matière de sécurité Active Directory

Des attaques telles que PetitPotam utilisent le relais NTLM pour menacer la sécurité des entreprises. Pour atténuer cette menace persistante, les entreprises doivent appliquer des mesures de sécurité rigoureuses. Lisez la suite pour en savoir plus sur les attaques par relais NTLM : comment elles fonctionnent, les risques qu'elles représentent, comment les détecter et comment s'en défendre.

Qu'est-ce que NTLM ?

NTLM est depuis longtemps un pilier de l'authentification Windows. Conçu pour la rapidité et la rétrocompatibilité, NTLM facilite l'authentification réseau lorsque Kerberos, une alternative plus sûre, ne peut pas être utilisée. De nombreux réseaux prennent encore en charge et utilisent NTLM pour des raisons de rétrocompatibilité et d'interopérabilité avec les anciens systèmes et applications qui ne prennent pas en charge les nouvelles méthodes d'authentification telles que Kerberos.

Qu'est-ce qu'une attaque par relais NTLM ?

Une attaque par relais NTLM tire parti de la conception du protocole NTLM. Le protocole NTLM ne comporte pas d'authentification mutuelle et est donc susceptible de faire l'objet d'attaques de type "man-in-the-middle", y compris d'une attaque par relais NTLM.

Dans ce type d'attaque, un acteur de la menace capture une session d'authentification NTLM. L'attaquant relaie ensuite les informations d'identification capturées pour s'authentifier auprès d'autres services, s'appuyant ainsi sur l'identité de l'utilisateur.

Le protocole NTLM n'est pas intrinsèquement protégé contre l'interception ou le relais des informations d'identification. Sans mécanismes de sécurité supplémentaires, tels que la signature SMB ou la protection étendue pour l'authentification, un pirate peut relayer les messages NTLM vers d'autres serveurs et services au sein du réseau. Le pirate peut exploiter ce comportement pour effectuer des actions non autorisées, depuis l'accès à des données sensibles jusqu'à l'exécution de commandes avec les privilèges du compte compromis.

La prévalence des environnements mixtes qui utilisent à la fois NTLM et des protocoles plus sécurisés ne fait qu'étendre la surface d'attaque des adversaires. Une fois à l'intérieur de votre réseau, les attaquants peuvent profiter des relations de confiance AD pour escalader les privilèges. Cette menace s'accroît lorsque les configurations du réseau et le respect strict des politiques de sécurité sont incohérents ou négligés en raison des exigences opérationnelles, de la complexité ou d'un manque de sensibilisation.

Les attaquants utilisent souvent une attaque par relais NTLM avec d'autres techniques, telles que le phishing ou les logiciels malveillants, pour obtenir un accès initial ou renforcer leur position dans un système. La combinaison de ces méthodes peut faire des attaques par relais NTLM un élément d'attaques plus sophistiquées et ciblées.

La menace est également amplifiée par la disponibilité de nombreux outils et scripts automatisés permettant d'exploiter les vulnérabilités de NTLM. Par conséquent, les attaquants peuvent mener une attaque par relais NTLM sans avoir besoin de connaissances techniques approfondies sur le protocole sous-jacent.

Comment fonctionne une attaque par relais NTLM ?

L'attaque commence par un positionnement stratégique de l'attaquant au sein du réseau afin de surveiller et de capturer le trafic d'authentification entre un client et un serveur. L'attaque tire parti du fait que l'authentification NTLM ne lie pas intrinsèquement une session d'authentification à un canal spécifique. Ce comportement permet à l'attaquant de rediriger les informations d'identification vers un serveur ou un service différent au sein du réseau.

Une attaque par relais NTLM suit généralement les étapes suivantes.

1. Interception. L'attaquant utilise des techniques telles que l'empoisonnement ARP pour s'insérer dans le flux de communication et intercepter la tentative d'authentification d'un client auprès d'un serveur.
2. Relais. L'attaquant relaie activement la demande d'authentification du client vers un autre serveur ou service du réseau.
3. Utilisation abusive des informations d'identification. Après avoir reçu les informations d'identification du client, le serveur cible traite la demande comme s'il s'agissait d'une tentative légitime de la part du client. Le serveur renvoie un jeton de session ou une autorisation d'accès, que l'attaquant capture.
4. Accès non autorisé. En utilisant le jeton de session ou les identifiants d'accès, le pirate accède au serveur ou au service cible avec les mêmes droits que la victime. Ces droits peuvent lui permettre d'accéder à des fichiers partagés, à des bases de données ou à d'autres ressources sensibles.

Quels sont les risques associés à une attaque par relais NTLM ?

Les risques potentiels d'une attaque par relais NTLM sont considérables.

• L'escalade des privilèges. Les attaquants peuvent obtenir des privilèges élevés si les informations d'identification relayées ont le niveau d'accès nécessaire.
• Violation de données. L'accès à des données sensibles au sein du réseau peut conduire au vol ou à la perte de données.
• Mouvement latéral. Les attaquants peuvent se déplacer latéralement au sein du réseau, compromettant ainsi d'autres systèmes et préparant le terrain pour d'autres attaques ou menaces persistantes.

Parmi les exemples concrets, on peut citer des cas où des attaquants ont compromis un utilisateur disposant de privilèges élevés et ont utilisé le relais NTLM pour exécuter des commandes qui leur ont permis d'accéder au réseau de manière permanente.

Qui est vulnérable à une attaque par relais NTLM ?

Les systèmes particulièrement vulnérables à une attaque par relais NTLM sont les suivants :

• Réseaux qui utilisent l'authentification unique (SSO) et dans lesquels NTLM est encore utilisé
• Environnements dans lesquels la signature SMB est désactivée ou non appliquée
• Serveurs et applications ne nécessitant pas de liaison de canal ou de protection de session

Comment détecter une attaque par relais NTLM ?

Pour détecter une attaque NTLM Relay, les professionnels de la sécurité doivent prendre les mesures suivantes :

• Surveillez les schémas de trafic NTLM inhabituels.
• Recherchez des signes d'empoisonnement ARP ou d'usurpation de réseau.
• Utiliser des systèmes de détection d'intrusion pour repérer les demandes d'authentification anormales.
• Utiliser l'analyse avancée des menaces pour repérer les mouvements latéraux ou l'escalade des privilèges qui pourraient être le signe d'une attaque relais.

Comment se défendre contre une attaque par relais NTLM ?

En comprenant les mécanismes d'une attaque par relais NTLM et en prenant des mesures proactives pour sécuriser votre réseau, vous pouvez réduire de manière significative la menace posée par cette vulnérabilité persistante. L'atténuation d'une attaque par relais NTLM passe par les étapes suivantes :

• Appliquer la signature SMB pour empêcher l'interception des messages d'authentification NTLM.
• Désactiver l'authentification NTLM dans la mesure du possible, en faveur de protocoles plus sûrs tels que Kerberos.
• Mettre en place une segmentation du réseau pour limiter les mouvements latéraux.
• Utilisez le groupe de sécurité Protected Users et d'autres fonctionnalités de Credential Guard pour réduire l'exposition des informations d'identification.

Les administrateurs d'Active Directory peuvent également prendre les mesures suivantes :

• Contrôlez votre réseau pour vous assurer que la signature SMB est activée sur tous les appareils.
• Configurer Active Directory pour qu'il rejette les demandes d'authentification NTLM provenant de réseaux non fiables.
• Surveiller, corriger et mettre à jour régulièrement les systèmes afin d'atténuer les vulnérabilités connues. En ce qui concerne Active Directory, un outil comme Semperis Directory Services Protector peut rechercher et combler les vulnérabilités et même automatiser la remédiation des changements suspects dans l'environnement Active Directory.
• Sensibiliser les utilisateurs à l'importance de ne pas réutiliser les informations d'identification sur différents points d'accès.

Rester vigilant face aux cyberattaques

Une attaque par relais NTLM constitue une menace sérieuse pour les réseaux. Malgré son ancienneté, NTLM reste utilisé dans de nombreux environnements d'entreprise, en particulier dans les systèmes qui n'ont pas été mis à jour pour utiliser des protocoles d'authentification modernes tels que Kerberos. La persistance de NTLM dans les réseaux, souvent en raison d'applications ou de dispositifs anciens qui l'exigent, laisse une porte ouverte aux attaques par relais NTLM qui exploitent les faiblesses inhérentes au protocole d'authentification.

En outre, les attaques par relais NTLM peuvent être particulièrement dangereuses lorsqu'elles sont combinées à d'autres exploits. Par exemple, un attaquant qui accède à un réseau par le biais d'une campagne d'hameçonnage peut utiliser les tactiques de relais NTLM pour élever ses privilèges et se déplacer latéralement au sein du réseau, ce qui conduit à un large éventail d'activités malveillantes.

En interceptant et en relayant les messages d'authentification, les attaquants peuvent obtenir un accès non autorisé aux ressources du réseau, augmenter leurs privilèges et potentiellement causer des dommages importants. La détection et l'atténuation des effets nécessitent un dispositif de sécurité solide, comprenant la surveillance du réseau, la formation des utilisateurs et le déploiement de protocoles d'authentification sécurisés.

Les administrateurs d'Active Directory doivent rester particulièrement vigilants. Ils doivent appliquer les meilleures pratiques pour se protéger contre les vulnérabilités et garantir l'intégrité et la sécurité du service d'identité. Et si possible, mettez en œuvre des solutions de détection et de réponse aux menaces liées à l'identité (ITDR) qui simplifient la surveillance d'Active Directory et automatisent votre défense contre les erreurs humaines et les cyberattaques furtives.