Vulnérabilité critique dans l’usurpation d’identité Windows LSA

Vulnérabilité critique dans l’usurpation d’identité Windows LSA

Annonce de service : Microsoft a publié un certain nombre de correctifs plus tôt cette semaine, y compris un correctif pour un exploit zero-day suivi sous le nom de « CVE-2022-26925 : Windows Local Security Authority (LSA) Spoofing Vulnerability ». Il s’agit d’un nouveau type d’attaque de relais NTLM utilisant une faille dans LSARPC.

Les attaquants non vérifiés peuvent appeler une méthode sur l’interface LSARPC pour pousser le contrôleur de domaine à authentifier le compte attaquant à l’aide de NTLM. Le correctif publié par Microsoft détecte toutes les tentatives anonymes dans LSARPC et les interdit.

La menace potentielle qui en résulte est que des acteurs interceptent des demandes d’authentification volumineuses et les utilisent pour élever les privilèges jusqu’à l’identité du contrôleur de domaine.

Versions Windows concernées

  • Windows Server 2008 – Windows Server 2022 (toutes versions)
  • Windows 7 – Windows 10 (toutes versions)

Quel est l’exploit ?

Les attaques par relais NTLM (NT Lan Manager) sont une méthode d’attaque dans laquelle un acteur ayant accès à un réseau envoie une demande d’authentification, intercepte la tentative d’authentification et la relaie pour obtenir un accès non autorisé aux ressources.

Comme l’exploit est actuellement confidentiel, il n’y a aucune preuve de concept connue ou facilement disponible. Les informations détaillées ci-dessus sont les seules informations actuellement connues sur l’attaque, mais nous suivons la situation en direct et partagerons les mises à jour si elles deviennent disponibles.

Correctifs et solutions de contournement

Microsoft a publié une liste complète des versions corrigées et produit une liste de liens téléchargeables vers les correctifs à installer.

Microsoft a également déclaré que la priorité était de corriger d’abord les contrôleurs de domaine avec les mises à jour de sécurité, car celles-ci sont les plus à risque.

En fonction de la gravité de l’événement et de la probabilité qu’il se produise, nous vous recommandons vivement de corriger tous les appareils Windows dès que possible, en commençant par les contrôleurs de domaine, comme conseillé par Microsoft.

La vulnérabilité elle-même a été vue dans la nature et est facilement exploitable.

Il s’agit d’un événement en cours, et nous continuons à suivre les développements. Si vous avez des questions ou avez besoin d’assistance, veuillez contacter notre service informatique au 01904 562207 ou email [email protected].