Talos Cyber Veille

PetitPotam (NTLM relay attack) – CVE-2022-26925

La suite Talos



La sécurité de nos clients est une priorité.

L’ensemble des outils de la suite Talos ne sont pas impactés par la faille CVE-2022-26925.

Centre des opérations de sécurité

Qu’est ce que c’est ?



PetitPotam est une faille concernant NTML
qui est une compilation de protocoles d’authentification du développeur de logiciels Windows. Lancé en tant que protocole propriétaire, NTLM a vite été utilisé pour des systèmes autres que Windows. Le NT LAN Manager permet à différents ordinateurs et serveurs de s’identifier mutuellement.

Particulièrement dangereuse dans les environnements sur lesquels l’authentification s’appuie sur un annuaire Active Directory. Elle touche le protocole d’authentification NTLM (NT Lan Manager) et LSA (Local Security Authority) associé au processus d’identification des utilisateurs « lsass.exe » sous Windows.

Impact


Dans son KB, Microsoft précise : « Un attaquant non authentifié pourrait appeler une méthode sur l’interface LSARPC et contraindre le contrôleur de domaine à s’authentifier auprès de l’attaquant en utilisant NTLM. »


Score CVSS
: 8.1/10 (IMPORTANT)

La faille est très simple à exploiter.

Versions vulnérables : Voir le détail des versions vulnérables sur le billet de Microsoft

Identifier et s’en prémunir


Il est important d’identifier au sein de votre SI les serveurs vulnérables. Utilisez les outils de détections de vos solutions EDR ou Pare-Feu pour savoir si la faille a été exploité.

Solutions à mettre en place à très court terme :

  • Appliquer le patch proposé par l’éditeur : 
  • Windows Server 2022 : KB5013944
  • Windows Server 2019 : KB5013941
  • Windows Server 2016 : KB5013952
  • Windows Server 2012 R2 : KB5014011
  • Windows Server 2012 : KB5014017
  • Autres versions ? voir ici

Si la mise à jour n’est pas possible :

  • Isoler les serveurs vulnérables d’internet ou à défaut les isoler de toutes communications avec votre LAN
  • Mettre en place les contre-mesures offertes par vos équipements filtrant
  • Surveillance constante des logs et de l’intégrité de votre système d’information
  • Prévoir le remplacement des machines concernées

 Olympe Cyberdéfense et le Groupe FrameIP peuvent vous soutenir et vous accompagner dans ces démarches. N’hésitez pas à nous contacter.