SAN FRANCISCO, 12 juin 2019 (GLOBE NEWSWIRE) -- Preempt, le principal fournisseur d'accès conditionnel pour la prévention des menaces en temps réel, a annoncé aujourd'hui que son équipe de recherche avait découvert deux vulnérabilités critiques pour Microsoft, consistant en trois failles logiques dans NTLM, le protocole d’authentification propriétaire de la société. Ces vulnérabilités permettent aux pirates d'exécuter à distance un code malveillant sur n'importe quel ordinateur Windows ou de s’authentifier sur tout serveur Web prenant en charge l’authentification Windows intégrée (WIA), tel qu'Exchange ou ADFS. La recherche montre que toutes les versions de Windows sont vulnérables.
NTLM est susceptible de relayer les attaques, ce qui permet aux acteurs de capturer une authentification et de la relayer vers un autre serveur, et ainsi d'effectuer des opérations sur le serveur distant en utilisant les privilèges de l'utilisateur authentifié. Le relais NTLM est l'une des techniques d'attaque les plus courantes utilisées dans les environnements Active Directory, dans lesquels le pirate parvient à compromettre un ordinateur, puis se déplace latéralement vers d'autres ordinateurs à l'aide de l’authentification NTLM sur le serveur compromis.
Microsoft avait précédemment mis au point plusieurs mesures d'atténuation pour empêcher les attaques par relais NTLM. Les chercheurs de Preempt ont découvert que ces mesures d'atténuation présentaient les failles suivantes qui pourraient être exploitées par des pirates :
Pour plus de détails sur les risques signalés de ces failles, veuillez visiter le blog d'avis de sécurité de Preempt ici.
« Même si le relais NTLM est une technique ancienne, les entreprises ne peuvent pas éliminer complètement l'utilisation du protocole, car de nombreuses applications en souffriraient. Il présente donc toujours un risque important pour les entreprises, en particulier avec la découverte constante de nouvelles vulnérabilités », a déclaré Roman Blachman, directeur technique et co-fondateur de Preempt. « Les entreprises doivent avant tout garantir que tous leurs systèmes Windows soient corrigés et sécurisés. En outre, les organisations peuvent renforcer la protection de leurs environnements en obtenant une visibilité réseau NTLM. Preempt collabore avec ses clients pour leur assurer cette visibilité et la meilleure protection possible. »
Pour se protéger de ces vulnérabilités, les organisations doivent :
Les clients de Preempt disposent déjà de protections contre les vulnérabilités NTLM. La plate-forme Preempt offre une visibilité NTLM réseau complète, permettant aux organisations de réduire le trafic NTLM et d’analyser les activités NTLM suspectes. En outre, Preempt dispose d'une capacité innovante de détection de relais NTLM déterministe, une première dans le secteur, et est en mesure d'inspecter toutes les configurations de GPO. Il alerte également en cas de configuration non sécurisée. Cette inspection de la configuration est également disponible dans Preempt Lite, une version légère et gratuite de la plate-forme Preempt. Les organisations peuvent télécharger Preempt Lite ici et vérifier quelles zones de leur réseau sont vulnérables.
Ces vulnérabilités et d'autres seront présentées par les chercheurs de Preempt Yaron Zinar et Marina Simakov lors de la conférence Black Hat USA 2019.
Au 11 juin 2019, Microsoft a publié les correctifs CVE-2019-1040 et CVE-2019-1019 le mardi après la divulgation responsable par Preempt des vulnérabilités de NTLM.
À propos de Preempt
Preempt offre une approche moderne de l'authentification et de la sécurisation de l'identité dans l'entreprise. Grâce à la technologie brevetée d'accès conditionnel, Preempt aide les entreprises à optimiser la bonne santé des identités et à mettre fin aux attaques en temps réel avant qu'elles n'affectent les activités. Preempt détecte et prévient en permanence les menaces en fonction de l'identité, du comportement et des risques sur toutes les plates-formes d'authentification et d'accès au cloud et sur site. Cette approche à faible coefficient de friction donne aux équipes de sécurité plus de visibilité et de contrôle sur les comptes et les accès privilégiés, tout en garantissant la conformité et la résolution automatique des incidents. Pour en savoir plus, visitez le site www.preempt.com.
ou contactez
Angelique Faul
Angelique@silverjacket.net
513-633-0897