Talos™ Cyber Veille
PetitPotam (NTLM relay attack) – CVE-2022-26925
La suite Talos
La sécurité de nos clients est une priorité.
L’ensemble des outils de la suite Talos ne sont pas impactés par la faille CVE-2022-26925.
Qu’est ce que c’est ?
PetitPotam est une faille concernant NTML qui est une compilation de protocoles d’authentification du développeur de logiciels Windows. Lancé en tant que protocole propriétaire, NTLM a vite été utilisé pour des systèmes autres que Windows. Le NT LAN Manager permet à différents ordinateurs et serveurs de s’identifier mutuellement.
Particulièrement dangereuse dans les environnements sur lesquels l’authentification s’appuie sur un annuaire Active Directory. Elle touche le protocole d’authentification NTLM (NT Lan Manager) et LSA (Local Security Authority) associé au processus d’identification des utilisateurs « lsass.exe » sous Windows.
Impact
Dans son KB, Microsoft précise : « Un attaquant non authentifié pourrait appeler une méthode sur l’interface LSARPC et contraindre le contrôleur de domaine à s’authentifier auprès de l’attaquant en utilisant NTLM. »
Score CVSS : 8.1/10 (IMPORTANT)
La faille est très simple à exploiter.
Versions vulnérables : Voir le détail des versions vulnérables sur le billet de Microsoft
Identifier et s’en prémunir
Il est important d’identifier au sein de votre SI les serveurs vulnérables. Utilisez les outils de détections de vos solutions EDR ou Pare-Feu pour savoir si la faille a été exploité.
Solutions à mettre en place à très court terme :
- Appliquer le patch proposé par l’éditeur :
- Windows Server 2022 : KB5013944
- Windows Server 2019 : KB5013941
- Windows Server 2016 : KB5013952
- Windows Server 2012 R2 : KB5014011
- Windows Server 2012 : KB5014017
- Autres versions ? voir ici
Si la mise à jour n’est pas possible :
- Isoler les serveurs vulnérables d’internet ou à défaut les isoler de toutes communications avec votre LAN
- Mettre en place les contre-mesures offertes par vos équipements filtrant
- Surveillance constante des logs et de l’intégrité de votre système d’information
- Prévoir le remplacement des machines concernées
Olympe Cyberdéfense et le Groupe FrameIP peuvent vous soutenir et vous accompagner dans ces démarches. N’hésitez pas à nous contacter.