La dernière mise à jour de Microsoft montre qu’en exploitant une vulnérabilité (CVE-2024-21410), les attaquants peuvent mener une attaque dite relais NTLM, également appelée « Pass the Hash ». Le NTLM est un ensemble de protocoles de sécurité qui authentifient l’identité des utilisateurs et la confidentialité de leurs activités.
Les acteurs malveillants ciblent des programmes comme Outlook qui présentent une vulnérabilité pour espionner les identifiants NTLM. Le programme est trompé pour s’authentifier sur un faux serveur qu’il contrôle. Une fois les identifiants exposés, ils peuvent être utilisés à des fins malveillantes.
Qu’est-ce que le NTLM exactement ?
NTLM signifie N ew T échnologie LAN Manager. Il s’agit d’un ensemble de protocoles de sécurité qui authentifient l’identité des utilisateurs et la confidentialité de leurs activités (CrowdStrike). Grâce à cette méthode d’authentification, la connexion unique sur les serveurs web ou les serveurs proxy est possible en utilisant les identifiants de l’utilisateur utilisateur Windows (Wikipédia).
Que devriez-vous faire ?
La sécurité de l’environnement serveur Exchange de votre organisation est primordiale. Agissez rapidement pour vous protéger contre les menaces potentielles et assurer des opérations ininterrompues.
Nous serons heureux de répondre à toutes vos questions.
