Old tech, new vulnerabilities: NTLM abuse, ongoing exploitation in 2025

Vulnérabilités NTLM : Un Risque Persistant en 2025

Le protocole d’authentification NTLM, datant des années 2000, reste une faille de sécurité exploitée en 2025 malgré l’annonce de son retrait progressif par Microsoft. Sa conception intrinsèque, basée sur un mécanisme de challenge-response, le rend vulnérable à diverses attaques, notamment celles basées sur le relais et l’usurpation d’identité.

Les techniques d’attaque courantes incluent :

• Fuite de Hachages : Exposition involontaire des hachages NTLM via des fichiers spécialement conçus, des chemins réseau malveillants ou des techniques de phishing.
• Attaques par Coercition : Forcer un système cible à s’authentifier auprès d’un service contrôlé par l’attaquant, permettant l’interception ou le relais du hachage.
• Détournement d’Identifiants (Credential Forwarding) : Réutilisation de hachages NTLM capturés pour se faire passer pour un utilisateur sur un autre système (ex: Pass-the-Hash).
• Attaques Man-in-the-Middle (MitM) : Interception, relais ou manipulation du trafic d’authentification, notamment le relais NTLM, qui existe depuis plus de deux décennies.

Plusieurs vulnérabilités récentes ont été exploitées :

• CVE-2024-43451 : Permet la fuite de hachages NTLMv2 avec peu ou pas d’interaction utilisateur, via des fichiers .url exploitant le moteur MSHTML. Les attaquants peuvent capturer ces hachages pour des attaques Pass-the-Hash ou distribuer des malwares via WebDAV.
  • Exploitation observée : Campagnes de l’APT BlindEagle ciblant la Colombie pour distribuer le RAT Remcos, et campagnes du groupe Head Mare contre des cibles russes, distribuant le malware PhantomCore.
• CVE-2025-24054 / CVE-2025-24071 : Vulnérabilité de fuite de hachages NTLMv2 affectant plusieurs versions de Windows, exploitée via des fichiers .library-ms dans des archives compressées, pour distribuer des RAT comme AveMaria (Warzone).
  • Exploitation observée : Distribution de chevaux de Troie en Russie via des archives ZIP contenant des fichiers .library-ms déguisés en feuilles de calcul.
• CVE-2025-33073 : Vulnérabilité de reflet NTLM dans le client SMB de Windows. Un attaquant authentifié peut forcer le système de la victime à s’authentifier auprès de lui-même, permettant l’escalade de privilèges et l’exécution de code au niveau SYSTEM.
  • Exploitation observée : Activité suspecte dans le secteur financier en Ouzbékistan impliquant la coercition d’authentification locale pour obtenir un jeton SYSTEM et tenter de dumper la mémoire LSASS.

Recommandations :

• Désactiver ou Limiter NTLM : Réduire la surface d’attaque en désactivant le protocole ou en le restreignant aux systèmes critiques.
• Implémenter la Signature des Messages : Activer la signature SMB et LDAP pour prévenir les attaques de relais en s’assurant de l’intégrité des communications.
• Activer la Protection Étendue pour l’Authentification (EPA) : Lier l’authentification NTLM aux sessions TLS/SSL pour empêcher la réutilisation non autorisée des identifiants.
• Surveiller et Auditer les Journaux : Examiner régulièrement les journaux d’authentification NTLM et le trafic réseau pour détecter les activités suspectes.

La persistance de NTLM, malgré les efforts de Microsoft pour le remplacer, continue d’offrir aux cybercriminels des opportunités d’intrusion, d’escalade de privilèges et de mouvement latéral dans les réseaux d’entreprise.

Source