Si vous pensez avoir bloqué NTLMv1 dans votre organisation, détrompez-vous

Table des Matières

Partager cet article:

Si vous pensez avoir bloqué NTLMv1 dans votre organisation, détrompez-vous. SilverfortL'équipe de recherche de a récemment découvert que les attaquants contournent la stratégie de groupe conçue pour désactiver NTLMv1, permettant ainsi aux authentifications non sécurisées de persister dans Active Directory environnements.

Ces résultats clés mettent en évidence une lacune critique : même lorsque les organisations pensent avoir sécurisé leurs systèmes, NTLMv1 reste une porte dérobée cachée pour le vol d'informations d'identification, mouvements latérauxet l'escalade des privilèges. Avec plus de 64 % des Active Directory les comptes s'authentifient toujours avec les protocoles NTLM malgré ses faiblesses connues, NTLMv1 continue de représenter un risque sérieux.

TL; DR 

  • Actualités : SilverfortL'équipe de recherche de 's a découvert une nouvelle façon pour les attaquants de utilisé NTLMv1 dans les attaques, malgré les efforts pour le désactiver. En utilisant une mauvaise configuration dans les applications sur site, les attaquants peuvent contourner le Stratégie de groupe conçue pour arrêter NTLMv1 authentifications. 
  • Pourquoi c'est important: 64% des Active Directory des comptes d'utilisateurs ou administrateurs s'authentifient régulièrement avec NTLM, malgré ses faiblesses connues et son abandon par Microsoft. De nombreuses organisations ont tenté de résoudre le problème NTLMv1 avec un Active Directory Stratégie de groupe. Cependant, nous avons découvert que cette stratégie est défaillante et permet aux authentifications NLTMv1 de persister, créant ainsi un faux sentiment de protection et exposant les organisations. Les attaquants savent que NTLMv1 est une faille. protocoles d'authentification protocole et le rechercher activement comme méthode pour se déplacer latéralement ou augmenter les privilèges. 
  • Qui est concerné : Toute organisation qui utilise des applications tierces ou développées en interne sur site et celles qui n'utilisent pas strictement des machines Windows. Par exemple, si un ordinateur Mac se connecte à une application bancaire, il pourrait être compromis.  
  • Impact sur les organisations : Un attaquant installé sur un réseau peut voir le trafic NTLMv1 et déchiffrer les informations d'identification des utilisateurs hors ligne, ouvrant ainsi la porte à des mouvements latéraux et les déplacements verticaux et élévations de privilègesNotre POC émule une application contournant la clôture, validant que cette mauvaise configuration fonctionne à l'avantage d'un attaquant.
  • Résultat de la divulgation : Alors que le Centre de réponse de sécurité Microsoft (MSRC) a indiqué que NTLMv1 le contournement n'est pas une vulnérabilité, ils ont pris des mesures proactives pour améliorer la sécurité en annonçant la suppression complète de NTLMv1 dans les deux mois suivant notre divulgation, en commençant par Windows 11 version 24H2 et Windows Server 2025.

Nous avons récemment organisé un webinaire au cours duquel j'ai présenté les recherches plus en détail, montrant comment atténuer les authentifications NTLMv1 en l'absence de correctif. Vous pouvez regarder ce webinaire à la demande ici.

Webinaire à la demande

Dévoilement des vulnérabilités NTLMv1 : risques et stratégies d'atténuation Active Directory Environnements.

Regardez-le ici

Résumé et mesures d'atténuation

Malgré son importance historique, NTLM représente un sérieux problème de sécurité. Ses méthodes cryptographiques sont obsolètes, ses faiblesses bien documentées et son manque de fonctionnalités de sécurité modernes (telles que authentification multi-facteur et la validation de l'identité du serveur) en font une cible attrayante pour les attaquants. Les hachages NTLMv1 peuvent être interceptés et utilisés pour protocoles d'authentification attaques par relais ou même attaques par dictionnaire, permettant aux attaquants d'accéder sans autorisation à des systèmes sensibles. De nouvelles vulnérabilités NTLM ont été révélées au cours des derniers mois, y compris un zero-day. Plus récemment, CyberSky découvert une vulnérabilité NTLM exploitée par des acteurs malveillants russes dans le cadre d'une chaîne d'attaque qui fournit l'open source Étincelle RAT malware.    

De nombreuses organisations utilisent de manière proactive le mécanisme de stratégie de groupe de Microsoft pour arrêter NTLMv1, pensant que cela les protégera des authentifications NTLMv1 non sécurisées. Cependant, nos recherches montrent que les applications sur site peuvent être configurées pour activer NTLMv1, annulant ainsi le niveau d'authentification le plus élevé défini par le gestionnaire de stratégie de groupe LAN Active DirectoryLes organisations pensent qu'elles font ce qu'il faut en définissant cette stratégie de groupe, mais elle est toujours contournée par l'application mal configurée. Tant que les applications ne pourront pas être configurées pour s'authentifier avec NTLMv1, le problème persistera.    

At Silverfort, nous avons constaté de nombreuses tentatives d'authentification via NTLMv1 au sein de notre clientèle. Nous travaillons en étroite collaboration avec nos clients pour cartographier et détecter l'utilisation de NTLMv1 et appliquer une clôture basée sur les risques pour réduire le risque de compromission. Sans correctif pour NLTMv1, les entreprises qui utilisaient NTLMv1 par le passé devraient prendre en compte les éléments suivants :  

  1. Activation des journaux d’audit pour toutes les authentifications NTLM dans le domaine.
  2. Cartographie de toutes les applications qui utilisent les authentifications NTLM en premier lieu ou en secours.
  3. Détection des applications vulnérables qui demandent aux clients d'utiliser des messages NTLMv1.
  4. Clôturer tous les NTLM avec une méthode d'authentification moderne.

Guide pour éliminer complètement NTLM de votre environnement

La fin de vie de Windows 10 signifie la disparition de l'authentification NTLM. Découvrez comment détecter et supprimer l'utilisation de NTLM grâce à ce guide étape par étape.

Lire maintenant

Qu'est-ce que NTLMv1 et pourquoi est-ce un problème ?

NTLM (NT LAN Manager) est un protocole d'authentification Microsoft hérité qui remonte au début des années 1990. Il a été conçu à l'origine pour vérifier les identités des utilisateurs dans les réseaux Windows, et bien qu'il ait été largement remplacé par Kerberos, il reste dans de nombreux Active Directory environnements en raison de la compatibilité descendante et des systèmes hérités.

Principes fondamentaux de NTLM

Le protocole fonctionne grâce à une simple séquence de trois messages :

  1. Négocier – Le client indique au serveur qu’il souhaite utiliser NTLM pour l’authentification.
  2. Challenge – Le serveur répond avec un nombre aléatoire (le défi) qui doit être chiffré à l’aide des informations d’identification de l’utilisateur.
  3. Authentifier Le client renvoie le défi chiffré. Si le serveur le valide par rapport aux identifiants enregistrés, l'accès est accordé.

Le problème est que NTLMv1, la première version du protocole, est très peu sûre selon les normes actuelles. Elle repose sur un chiffrement DES faible, utilise un challenge de seulement 8 octets (facile à utiliser en force brute) et est dépourvue de contrôles de sécurité modernes comme la protection MFA ou la validation de l'identité du serveur. Ces faiblesses font des authentifications NTLMv1 une cible de choix pour les attaquants, qui peuvent intercepter les hachages, effectuer des attaques par rejeu ou par relais, et élever les privilèges. Active Directory.

Bien qu'il soit obsolète, NTLMv1 reste utilisé car de nombreuses applications sur site, clients non Windows et systèmes internes en dépendent toujours, laissant les organisations vulnérables aux attaques.

Blog

Sécurisé malgré l'héritage : le guide du responsable IAM pour contrôler les risques d'identité

Lire maintenant

Quelle est la différence entre NTLMv1 et NTLMv2 ?

Pour remédier aux faiblesses de NTLMv1, Microsoft a introduit NTLMv2, qui a apporté plusieurs améliorations :

  • Cryptage plus fort – NTLMv2 a remplacé DES par RC4, rendant les attaques par force brute plus difficiles.
  • Défi client – Ajout d’un deuxième défi aléatoire du client, augmentant l’entropie et la sécurité.
  • AV_PAIRS – Introduction de données de session supplémentaires (telles que la source, la destination et le SPN) pour générer des clés de session uniques, réduisant ainsi le risque d’attaques par relecture ou par relais.

Bien que NTLMv2 soit nettement plus sécurisé que NTLMv1, il s'agit d'un protocole obsolète. Il manque de prise en charge native de l'authentification multifacteur (MFA) et de protections d'identité modernes. Les organisations devraient donc migrer vers des protocoles d'authentification modernes tels que Kerberos pour bénéficier d'une protection renforcée.

Silverfort recherche : contournement de NTLMv1 dans Active Directory

Le mécanisme de stratégie de groupe de Microsoft est conçu pour désactiver l'authentification NTLMv1. En définissant la clé de registre LMCompatibilityLevel, les administrateurs s'attendent à ce que les contrôleurs de domaine rejettent le trafic NTLMv1 et exigent NTLMv2 ou Kerberos à la place. Sur le papier, cela devrait éliminer NTLMv1 de Active Directory environnements.

Mais SilverfortL'équipe de recherche a découvert que cette protection n'est pas absolue. Lors de notre analyse, nous avons identifié une faille permettant aux applications de contourner la stratégie de groupe et de continuer à envoyer des requêtes d'authentification NTLMv1. Cela crée un angle mort dangereux : les organisations peuvent croire avoir bloqué NTLMv1, alors qu'en réalité, il persiste, laissant ainsi des traces. Active Directory exposés au vol d’informations d’identification, aux mouvements latéraux et à l’escalade des privilèges.

Plongée technique approfondie : Comment fonctionne le contournement NTLMv1

L'application des politiques NTLM dépend de la Protocole Netlogon à distance (MS-NRPC), que les serveurs d'applications utilisent pour valider les messages NTLM auprès des contrôleurs de domaine. Une structure clé de ce processus, NETLOGON_LOGON_IDENTITY_INFO, contient un champ appelé Contrôle des paramètres.

Ce champ contient un indicateur qui autorise explicitement l'authentification NTLMv1, même si la stratégie de groupe est configurée pour la bloquer. Autrement dit, le contrôle est limité aux applications qui le respectent.

Pour tester cela, nous avons créé une application de démonstration de faisabilité simulant un service malveillant ou mal configuré. En activant l'indicateur ParameterControl, nous avons réussi à forcer les authentifications NTLMv1. Le contrôleur de domaine les a acceptées, malgré la configuration de la stratégie de groupe interdisant NTLMv1.

Cela signifie que toute application, intentionnellement ou par erreur, peut générer du trafic NTLMv1, exposant ainsi les organisations à des risques d'authentification cachés. Les attaquants qui identifient ces applications peuvent les exploiter pour intercepter les identifiants, lancer des attaques par rejeu ou par relais, et se déplacer latéralement. Active Directory.

La réponse de Microsoft

Lorsque nous avons communiqué nos conclusions au Centre de réponse de sécurité de Microsoft (MSRC), celui-ci a confirmé le comportement, mais ne l'a pas qualifié de faille de sécurité. Microsoft a plutôt pris des mesures proactives en annonçant la suppression complète de NTLMv1. À commencer par Windows 11 version 24H2 et Windows Server 2025, NTLMv1 ne sera plus du tout pris en charge.

Cette décision décisive souligne la gravité du risque. Cependant, d'ici là, les organisations restent exposées si elles s'appuient uniquement sur la stratégie de groupe pour bloquer NTLMv1. Elles doivent détecter et atténuer proactivement l'utilisation de NTLMv1 afin de garantir que les attaquants ne puissent pas exploiter cette faiblesse d'authentification.

Ressource gratuite

Feuille de route pour fermer les applications basées sur NTLM

Ce guide téléchargeable fournit une feuille de route compréhensible de ce qu'il faut faire lorsque vous êtes prêt à fermer complètement les applications basées sur NTLM.

Lire maintenant

Risques de sécurité liés à l'authentification NTLMv1

Bien que Microsoft ait abandonné NTLMv1, il continue de représenter un risque sérieux dans les environnements modernes. Active Directory Environnements. Les attaquants analysent activement les réseaux à la recherche de trafic NTLMv1, car celui-ci constitue un point d'entrée facile pour :

  • Vol d'identifiants – Les hachages NTLMv1 peuvent être interceptés et craqués hors ligne.
  • Attaques par relecture et relais – les messages NTLMv1 interceptés peuvent être réutilisés pour usurper l’identité des utilisateurs sur différents services.
  • Mouvement latéral et escalade des privilèges – une fois que les attaquants ont pris pied, ils peuvent se déplacer entre les systèmes et élever leurs privilèges dans AD.

Même lorsque les organisations pensent avoir bloqué NTLMv1 via la stratégie de groupe, le protocole persiste souvent de manière invisible. Les applications peuvent toujours demander l'authentification NTLMv1, et les contrôleurs de domaine peuvent l'approuver sous certaines conditions. Les clients Windows avec LMCompatibilityLevel 3 et supérieur ne génèrent pas de réponses NTLMv1, mais les clients non Windows restent sans protection. En pratique, cela signifie que de nombreux environnements contiennent encore du trafic NTLMv1, même si les administrateurs le considèrent comme éliminé.

Cette persistance rend extrêmement difficile de prouver la suppression complète de NTLMv1. De ce fait, de nombreuses organisations entretiennent un faux sentiment de sécurité, tandis que des attaquants continuent d'exploiter ces authentifications faibles pour compromettre leurs systèmes. Active Directory.

Comment atténuer et éliminer NTLMv1

Tant que Microsoft n'aura pas complètement supprimé NTLMv1, les entreprises devront prendre des mesures proactives pour détecter et limiter son utilisation. Se fier uniquement à la stratégie de groupe ne suffit pas : des erreurs de configuration cachées et des clients non Windows peuvent toujours générer du trafic NTLMv1.

Voici les principales mesures que chaque organisation devrait prendre :

  1. Activer les journaux d'audit pour toutes les authentifications NTLM sur l’ensemble du domaine pour établir une visibilité complète.
  2. Cartographier toutes les applications qui utilisent NTLM comme méthode principale ou comme solution de secours, y compris les systèmes sur site et en interne.
  3. Détecter les applications vulnérables qui demandent toujours des messages NTLMv1, en particulier à partir de clients non Windows.
  4. Appliquer des protections modernes tels que l'authentification multifacteur (MFA) et les contrôles d'accès basés sur les risques sur toutes les authentifications NTLM pour empêcher les attaquants d'exploiter les protocoles faibles.

Silverfort's Sécurité d'identité La plateforme aide les organisations à prendre ces mesures en détectant le trafic NTLMv1 en temps réel et en appliquant des contrôles adaptatifs. Silverfort, les équipes de sécurité peuvent contenir des authentifications risquées, protéger les comptes de serviceet appliquer une authentification moderne sans perturber les opérations commerciales.

Envie d'en savoir plus ? Regardez notre webinaire à la demande.

Si vous souhaitez approfondir les détails de cette recherche, Découvrez ce webinaire à la demande, où nous parcourons la découverte du contournement NTLMv1 et montrons des moyens pratiques pour atténuer les authentifications NTLMv1 en l'absence de correctif.

Webinaire à la demande

Dévoilement des vulnérabilités NTLMv1 : risques et stratégies d'atténuation Active Directory Environnements.

Roy Akerman

Vice-président de la stratégie de sécurité des identités

Dor Segal

Chef d'équipe de recherche en sécurité

Yoad Dvir

Responsable Marketing Produit Senior

Regardez-le ici

Nous avons osé aller plus loin dans la protection de l’identité.
Découvrez les possibilités qui s’offrent à vous.

Demandez une démo pour voir le Silverfort Plateforme de sécurité des identités en action.

Démo