CVE-2025-50154
Mis à jour :
Exploitation des raccourcis Windows pour l’extraction de hashes NTLM
Une faille de sécurité, désignée CVE-2025-50154, permet de contourner une précédente correction Microsoft (CVE-2025-24054) pour subtiliser des hashes NTLM sans intervention de l’utilisateur, y compris sur des systèmes entièrement mis à jour.
L’attaque exploite une faiblesse dans la manière dont le processus explorer.exe traite les fichiers raccourcis (.LNK) contenant des chemins vers des binaires distants. La faille réside dans la gestion des icônes pour ces raccourcis : bien qu’une mise à jour antérieure ait empêché le rendu d’icônes à partir de chemins UNC, elle n’a pas pris en compte les binaires distants qui embarquent leurs propres données d’icônes. Lorsqu’un raccourci malveillant est affiché, le système tente d’extraire l’icône du binaire distant, déclenchant ainsi une authentification NTLM sans interaction de l’utilisateur.
Points Clés :
- Contourne la correction de CVE-2025-24054.
- Permet l’extraction de hashes NTLM sans interaction utilisateur.
- Fonctionne même sur des systèmes à jour.
- Exploite la récupération d’icônes à partir de binaires distants intégrés dans des raccourcis Windows (.LNK).
Vulnérabilité :
- CVE-2025-50154
Recommandations :
Bien que l’article ne détaille pas de recommandations spécifiques au-delà de la mention de la correction de CVE-2025-24054, il est implicite que la vigilance quant aux fichiers raccourcis provenant de sources non fiables et le maintien des systèmes à jour avec les derniers correctifs de sécurité sont essentiels.