Après VBScript, Microsoft s’apprête à tourner la page d'une autre technologie, le protocole d’authentification NLTM dans Windows 11. L’acronyme de de New Technology LAN Manager fait partie d’une famille de protocoles d’identification comprenant aussi Kerberos. Ce dernier a remplacé NTLM comme solution d’authentification par défaut sur les terminaux fonctionnant sur toutes les versions de Windows supérieures à Windows 2000.
Le problème est que NTLM est encore utilisé aujourd’hui, notamment par les cybercriminels. Ces derniers réalisent des attaques par relais NTLM, une technique consistant à se mettre entre un client et un serveur pour effectuer des actions sur le serveur en se faisant passer pour le client. Les attaquants ont peaufiné leurs campagnes en exploitant les failles ShadowCoerce, DFSCoerce, PetitPotam et RemotePotato0, conçues pour contourner les mesures d’atténuations des attaques par relais NTLM.
Des fonctionnalités supplémentaires dans Kerberos attendues
Le protocole a été aussi la cible d’offensive de type « pass-the-hash » dans lesquelles les cybercriminels exploitent les failles des systèmes ou déploient des malwares pour obtenir des hachages NTLM. Une fois en possession du hachage, les cybercriminels peuvent l'utiliser pour s'authentifier en tant qu'utilisateur compromis, ouvrant l’accès à des données sensibles et la capacité de se propager latéralement sur le réseau.
L'éditeur indique que les développeurs ne doivent plus utiliser NTLM dans leurs applications depuis 2010, et conseille aux administrateurs Windows de désactiver NTLM ou de configurer leurs serveurs pour bloquer les attaques par relais NTLM à l'aide des services de certificats de l'Active Directory (AD CS). Cependant, l’éditeur travaille actuellement sur deux fonctionnalités Kerberos : IAKerb (Initial and Pass Through Authentication Using Kerberos) et KDC local (Local Key Distribution Center). La première fonction donne aux clients la capacité de s'authentifier avec Kerberos dans un plus grand nombre de topologies de réseau. La seconde concerne un centre de distribution de clés (KDC) local pour Kerberos, qui étend la prise en charge du protocole aux comptes locaux. Microsoft prévoit par ailleurs d'étendre les contrôles de gestion NTLM, offrant aux administrateurs une plus grande flexibilité dans la surveillance et la restriction de son utilisation. « Tous ces changements seront activés par défaut et ne nécessiteront pas de configuration pour la plupart des scénarios. NTLM restera disponible comme solution de repli pour maintenir la compatibilité existante », a conclu Matthew Palko, directeur produit entreprise et sécurité chez Microsoft.