Une vulnérabilité potentielle de type « zero-day » a été découverte, qui pourrait permettre aux cyberattaquants de voler les identifiants NTLM des utilisateurs via les thèmes Windows. La menace, cependant, pourrait déjà avoir une solution en dehors d’un correctif officiel de Microsoft. L’équipe 0patch de la firme de renseignements sur la sécurité, Acros Security, a créé un microcorrectif gratuit qui résoudrait apparemment le problème, fournissant une solution alors que Microsoft n’a pas encore publié de correctif officiel.
Le problème en question est lié au protocole de sécurité du New Technology LAN Manager (NTLM) de Windows, un système que Microsoft utilise pour vérifier l’identité des utilisateurs et des machines sur un réseau. Le protocole a été identifié comme étant potentiellement fuyant, offrant aux mauvais acteurs une opportunité d’intrusion.
Un correctif de Microsoft en janvier, étiqueté CVE-2024-21320, avait été conçu à l’origine pour combler cette faille de sécurité. Cependant, l’efficacité de ce correctif a été mise en doute lorsque le chercheur Tomer Peled d’Akamai a révélé que les attaquants pouvaient contourner le correctif. Ils pourraient envoyer un fichier de thème malveillant et tromper un utilisateur en l’engageant avec, bien qu’il n’ouvre pas explicitement, ce fichier. Par conséquent, Windows serait manipulé pour transférer des requêtes de réseau vérifiées à des hôtes étrangers, ainsi que les identifiants NTLM de l’utilisateur.
Lorsqu’on lui a demandé des éclaircissements sur la vulnérabilité et quand une solution officielle pourrait être attendue, Microsoft est resté vague. Un représentant de l’entreprise a déclaré qu’ils étaient conscients des conclusions du rapport de sécurité et prendraient les mesures nécessaires pour garantir la protection des clients.
En attendant, le micorcorrectif d’Acros Security pourrait jouer un rôle crucial pour maintenir la sécurité des utilisateurs. Cette forme de réponse agile des entreprises de sécurité peut jouer un rôle pivot dans la lutte contre les menaces cybernétiques, en particulier lorsque les grandes organisations ont besoin de plus de temps pour créer et diffuser des correctifs complets.
