Sécurité IT : Active Directory abrite une faille critique

Cloud
faille-active-directory

Une vulnérabilité dans l’implémentation des services d’annuaire LDAP pour les OS Windows expose la quasi-totalité des entreprises du Fortune 1000 à des risques d’usurpation de l’identité de leurs salariés.

Les équipes d’Aorato sont formelles : Microsoft Active Directory renferme une faille que des tiers peuvent exploiter pour changer les mots de passe des utilisateurs et ainsi usurper leur identité.

Selon l’entreprise israélienne spécialiste de la sécurité informatique, cette vulnérabilité dans l’implémentation du service d’annuaire LDAP pour les systèmes d’exploitation Windows est d’autant plus sensible que 95% des entreprises classées au Fortune 1000 ont déployé le protocole.

Au coeur du débat, on retrouve NTLM. Cette « vieille » méthode d’identification utilisée par défaut jusqu’à Windows XP Service Pack 3 (mais pour laquelle Microsoft assure encore la compatibilité avec ses OS plus récents, malgré la disponibilité de Kerberos depuis Windows 2000) présente une faille connue. Celle-ci est de type « pass-the-hash » (PtH) : elle permet de contourner la vérification de données par hachage, ouvrant ainsi la porte au vol d’informations de connexion.

D’après Aorato, les assaillants n’ont qu’à utiliser des outils de tests d’intrusion – comme Mimikatz et WCE – pour parvenir à leurs fins. La vulnérabilité ouvre par ailleurs l’accès à d’autres services du réseau de l’entreprise : le Remote Desktop Protocol (RDP ; gestion à distance des postes Windows) et Outlook Web Access (OWA ; application de messagerie professionnelle multiplateforme et mobile).

Alerté quant à l’existence de cette faille, Microsoft évoque une « limite » impossible à corriger, car directement liée à la conception du protocole d’identification NTLM, dont les spécifications sont publiquement accessibles. Bilan : les entreprises sont « pleinement conscientes » du danger qu’elles encourent.

La firme précise aussi avoir publié, en mai 2014, une mise à jour pour Windows 7/8.x et Server (à partir de la version 2008 R2) qui renforce la protection des informations d’identité et le contrôle d’identification. Sur ce dernier point, il est recommandé de passer par des cartes à puce et de supprimer RC4-HMAC, cette méthode de chiffrement implémentée dans Kerberos pour assurer la rétrocompatibilité.

Faisant référence à la taille de NTLM, à l’usage des outils de tests d’intrusion pour déterminer les identifiants de connexion et à la capacité à passer inaperçu pour quiconque les exploite, les experts d’Aorato expliquent que « c’est la combinaison [de ces] différents aspects qui fait de cette révélation une nouveauté« .

Et d’ajouter : « Puisqu’il n’y a pas de solution inhérente, la protection doit être fournie depuis l’extérieur« . Par exemple en détectant l’usage d’algorithmes de chiffrement autres que celui implémenté par défaut. Ou encore en identifiant les attaques par corrélation entre l’utilisation « anormale » de la méthode de chiffrement et son contexte (date et heure inhabituelles au regard du profil utilisateur, etc.).

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous bien Microsoft ?

Crédit photo : Mopic – Shutterstock.com

Lire aussi :