Relais NTLM : De SMBRelay aux mesures de mitigation modernes

blog-image

Relais NTLM : De SMBRelay aux mesures de mitigation modernes

NTLM (NT LAN Manager) est une pierre angulaire de la suite d’authentification de Microsoft. Pourtant, il a connu plusieurs vulnĂ©rabilitĂ©s au fil des annĂ©es. L’une des plus utilisĂ©es est l’exploitation de relais NTLM. Plongeons dans son histoire, son Ă©volution et comment elle est gĂ©rĂ©e aujourd’hui.

Les Premiers Jours : Sir Distic et SMBRelay

Ă€ la fin des annĂ©es 1990, un hacker nommĂ© Sir Distic a prĂ©sentĂ© au monde un outil nommĂ© SMBRelay. Cette exploitation visait les machines Windows en capturant et relayant les demandes d’authentification NTLM. En substance, c’Ă©tait comme prendre le “billet d’authentification” de quelqu’un et l’utiliser ailleurs, sans que cette personne le sache. Ce fut le premier grand avertissement sur les vulnĂ©rabilitĂ©s NTLM, ouvrant la voie au dĂ©veloppement de contre-mesures.

Les Bases du Relais NTLM

Pour comprendre le relais NTLM, commençons par comprendre quelques bases du réseau.

Chaque fois qu’un appareil sur un rĂ©seau veut communiquer avec un autre, il dĂ©marre une session, un peu comme lorsqu’on entame une conversation dans le monde rĂ©el. Le protocole NTLM (NT LAN Manager) est une façon de se prĂ©senter dans cette conversation numĂ©rique.

Poignée de main NTLM

Pensez au NTLM comme Ă  une poignĂ©e de main numĂ©rique oĂą le Device A dit : “Bonjour, c’est A”, et le Device B rĂ©pond : “Je te reconnais, A. Discutons.”

Et si, lors de cette poignĂ©e de main numĂ©rique, un espion (appelons-le ‘E’) intervenait ? E prend astucieusement le salut de A et se prĂ©sente Ă  un appareil complètement diffĂ©rent, Device C, en utilisant l’identitĂ© de A.

Scénario de relais NTLM

Cette tromperie est l’essence du relais NTLM. ‘E’ ne connaĂ®t pas nĂ©cessairement les secrets ou les identifiants de A, mais en dĂ©tournant la prĂ©sentation de A, il peut potentiellement obtenir un accès non autorisĂ© Ă  C, alors que C croit qu’il interagit avec A. C’est une mascarade numĂ©rique, une imitation, et cela peut entraĂ®ner des accès non intentionnels et des fuites de donnĂ©es.

DĂ©tails du relais NTLM

Évolution de l’Attaque

Avec le temps, la mĂ©thode d’attaque a Ă©voluĂ©. Le plus notable est le passage de SMB (Server Message Block) Ă  d’autres protocoles comme HTTP. Les attaquants se sont adaptĂ©s Ă  diffĂ©rents environnements et ont exploitĂ© de nouveaux services, rendant les solutions hĂ©ritĂ©es obsolètes.

Les Implications de la Signature SMB

Bien que la signature SMB soit une solide mesure d’attĂ©nuation contre les attaques de relais NTLM, ce n’est pas une solution miracle. Elle garantit que les paquets relayĂ©s sont authentiques et n’ont pas Ă©tĂ© altĂ©rĂ©s. Cependant, il y a un hic.

Relais NTLM avec signature SMB

Si un attaquant intercepte ces paquets, il peut ne pas les relayer, mais il peut toujours les analyser. Si des mots de passe faibles sont utilisés, les attaquants peuvent essayer de les casser hors ligne. En gros, la signature SMB arrête le relais, mais transforme la scène en un lieu potentiel pour le cassage de mot de passe.

Les Mitigations d’Aujourd’hui

Les défenses modernes contre le relais NTLM sont multiples :

  1. Utilisation de la Signature SMB : En imposant la signature SMB, les attaques de relais deviennent inefficaces car toute altération est détectée.
  2. Restrictions de Compte : Les comptes avec des privilèges dĂ©lĂ©guĂ©s ne rĂ©alisent pas d’authentification NTLM sur le rĂ©seau, rĂ©duisant ainsi l’exposition.
  3. Blocage du NTLM : Certaines organisations choisissent de bloquer complètement le NTLM, s’appuyant sur des mĂ©thodes plus sĂ©curisĂ©es.
  4. Kerberos : En tant que successeur du NTLM, Kerberos offre une authentification mutuelle, c’est-Ă -dire que le client et le serveur prouvent leur identitĂ© l’un Ă  l’autre. Cette authentification mutuelle rend les attaques de relais bien plus difficiles.
  5. Protection renforcĂ©e pour l’authentification (EPA) : Cela garantit que les identifiants relayĂ©s ne sont valables que pour le serveur initialement prĂ©vu.

Mais la dĂ©fense la plus efficace ? La sensibilisation. ConnaĂ®tre les risques, rester informĂ© des dernières mĂ©thodes d’attaque, et appliquer les meilleures pratiques peuvent protĂ©ger vos systèmes.

Pourquoi Devriez-Vous Vous en Soucier ?

Le relais NTLM n’est pas seulement un casse-tĂŞte IT ; c’est un risque commercial. L’accès non autorisĂ© peut signifier le vol de donnĂ©es, une perturbation des activitĂ©s, ou pire. Si vous ĂŞtes prĂ©occupĂ© par la posture de sĂ©curitĂ© de votre organisation, envisagez un test de pĂ©nĂ©tration professionnel. Un pen-test peut rĂ©vĂ©ler des vulnĂ©rabilitĂ©s cachĂ©es et fournir des informations exploitables pour renforcer la sĂ©curitĂ©.

Besoin d’un test de pĂ©nĂ©tration ? Nous sommes experts dans la dĂ©tection des vulnĂ©rabilitĂ©s et nous nous assurons que vos dĂ©fenses sont solides comme le roc. Contactez-nous pour des services de premier ordre.

De l’apparition de SMBRelay aux dĂ©fenses sophistiquĂ©es d’aujourd’hui, le relais NTLM a toujours Ă©tĂ© un sujet captivant dans le domaine de la sĂ©curitĂ©. Restez vigilant, restez informĂ© et privilĂ©giez toujours votre sĂ©curitĂ© numĂ©rique.