La dépréciation de NTLM nous donne des flashbacks XP EOL : êtes-vous protégé ?
Microsoft récemment annoncé la dépréciation du protocole NTLM pour le client Windows. Cela correspond aux encouragements de Microsoft à s'éloigner de NTLM en raison des risques de sécurité qu'il introduit – et agit comme un signal d'alarme selon lequel le maintien de l'utilisation de NTLM expose les environnements à un risque élevé.
Nous ne pouvons ignorer la ressemblance frappante entre la situation actuelle NTLM dépréciation et EOL de Windows XP il y a dix ans. Dans les deux cas, Microsoft a cessé de prendre en charge une infrastructure existante – mais extrêmement courante – qui expose ses utilisateurs à des risques critiques. Dans le cas de XP, le risque était l’exécution de code malveillant à distance ; avec NTLM c'est accès aux informations d'identification Et subséquente mouvement latéral et la ransomware se propager.
Ce blog fournit un résumé des menaces d'identité potentielles que NTLM présente aujourd'hui aux organisations et présente un plan d'atténuation pour garantir la résilience de votre environnement.
Table des matières
Saviez-vous que NTLM est bien vivant ?
Bien que NTLM soit de notoriété publique comme étant « non sécurisé », il est toujours largement utilisé dans les environnements de production. Le Rapport clandestin d'identité, publié en mars 2024, a révélé qu'un une proportion alarmante d'utilisateurs, d'administrateurs et de comptes de service utilisent toujours NTLM pour accéder aux ressources:
64% des des comptes d'utilisateurs ou administrateurs utiliser régulièrement NTLM pour accéder aux ressources
37 % des utilisateurs administrateurs utilisent régulièrement NTLM pour accéder aux ressources
46 % des comptes de service utilisent régulièrement NTLM pour accéder aux ressources
Saviez-vous que NTLM peut permettre la propagation massive de ransomwares ?
Mais quel est le risque réel d’une utilisation élevée de NTLM ?
Les problèmes de sécurité NTLM proviennent de la manière dont il utilise les hachages au lieu des mots de passe. Cela élimine l’envoi du mot de passe en clair par fil, ce qui est une bonne chose. Cependant, les attaquants peuvent abuser de ce mécanisme et utiliser le hachage NTLM lui-même comme équivalent de mot de passe pour accéder à des ressources malveillantes.
Cartographions cet abus de NTLM à MITRE Terminologie du cadre ATT&CK :
- Accès aux informations d'identification: les attaquants peuvent utiliser un large éventail d'outils disponibles pour extraire le NTLM soit de son stockage dans la mémoire des machines, soit pendant qu'il traverse le réseau entre les machines.
- Mouvement latéral: suite à la compromission du hachage, les attaquants peuvent soit utiliser le hachage lui-même, soit le déchiffrer hors ligne pour obtenir le mot de passe en clair. Dans le premier cas, ils utiliseraient des techniques telles que le relais Pass-the-Hash ou NTLM. Dans ce dernier cas, ils utiliseraient simplement les mots de passe nouvellement obtenus pour un accès malveillant.
La combinaison de accès aux informations d'identification et le mouvement latéral est le facteur X derrière toutes les attaques de ransomwares très médiatisées que les organisations ont subies ces dernières années.
La connaissance, c'est le pouvoir : posez les questions suivantes pour comprendre et résoudre votre exposition au risque NTLM
Obtenez un aperçu des capacités d'exposition et d'atténuation NTLM de votre environnement en interrogeant votre sécurité d'identité regroupez les questions suivantes :
Avons-nous une visibilité sur l’utilisation réelle de NTLM dans notre environnement ?
Cette question se concentre sur la portée de votre exposition NTLM pour tous les utilisateurs, administrateurs, comptes de service et les ressources où NTLM est utilisé. La réponse doit être quantifiée en pourcentage, comme celle que nous avons montré ci-dessus.
Pouvons-nous limiter l'utilisation de NTLM là où elle se trouve absolument nécessaire?
L'étape suivante consiste à voir ce que vous pouvez faire pour minimiser l'utilisation de NTLM. La réponse à cette question doit indiquer la partie de votre utilisation NTLM qui ne peut pas être éliminée (les applications héritées sont l'exemple le plus courant) et la partie qui pourrait être supprimée sans aucune interruption opérationnelle.
Pouvons-nous bloquer les mouvements latéraux facilités par NTLM en temps réel ?
Ici, nous devrions supposer qu’une violation s’est déjà produite. Si NTLM est en place, il y a de fortes chances que des attaquants compromettent les mots de passe et tentent d'effectuer un accès malveillant. La réponse à cette question doit répertorier les contrôles de sécurité en place qui peuvent détecter et bloquer les tentatives d'accès malveillantes utilisant NTLM. identifiants compromis.
Conclusion : voir, connaître et agir pour atténuer les risques NTLM
Comme avec Windows XP, être proactif est la meilleure approche pour atténuer les risques liés à NTLM. Les trois questions ci-dessus constituent un aperçu d’une stratégie d’atténuation proactive. Vos équipes d’identité et de sécurité peuvent-elles donc y apporter des réponses solides ? Bien entendu, cela dépend des solutions d’identité et de sécurité que vous avez mises en place. Si vous ne trouvez pas les réponses ou si elles ne vous satisfont pas, une action immédiate est nécessaire pour trouver la solution qui peut vous aider. Quelque chose de plus court que cela vous exposerait.
Vous vous souvenez de XP et des multiples attaques que les organisations subissent quotidiennement ? Ce problème n’a pas disparu de lui-même. NTLM ne sera pas différent.