Hand reaching in digital screen to grab password

Table des matières

Le volet de visualisation de l’Explorateur de fichiers Windows peut être utilisé de manière abusive pour exposer les hachages de mots de passe NTLM, que les attaquants peuvent réutiliser ou tenter de pirater hors ligne. Microsoft a même désactivé les aperçus des fichiers téléchargés dans la dernière mise à jour de Windows. Suivez le guide ci-dessous pour vous protéger des fuites de hachage NTLM via les aperçus de l’Explorateur de fichiers.

Comment les aperçus de l’explorateur de fichiers sont vulnérables

NT LAN Manager (NTLM) est un protocole d’authentification de Microsoft pour les comptes et services Windows. En raison de failles de sécurité, il a été largement remplacé par Kerberos, mais il est toujours disponible pour une compatibilité ascendante et peut être utilisé de manière abusive dans de bonnes conditions.

Les aperçus de l’Explorateur de fichiers peuvent être exploités pour exécuter des requêtes NTLM qui peuvent révéler votre compte local ou votre mot de passe de connexion au domaine (en hachages) à exploiter. Lors de l’aperçu, les fichiers contenant des instructions pour exécuter les requêtes NTLM peuvent être automatiquement traités par Windows pour envoyer le mot de passe haché à un serveur malveillant. Les acteurs malveillants peuvent alors soit tenter de forcer brutalement le mot de passe hors ligne, soit tenter d’exécuter une attaque par passe-hachage.

Selon Microsoft, ces types d’attaques sont actuellement en action, c’est pourquoi, dans la dernière mise à jour, Windows a cessé d’afficher les aperçus des fichiers marqués avec Mark of the Web (MoTW) (fichiers Internet).

Comment se protéger des fuites de hachage NTLM grâce aux aperçus de l’explorateur de fichiers

Il est important de prendre des précautions lors de la prévisualisation des fichiers téléchargés sur Internet, car Microsoft Defender ne peut pas détecter les requêtes NTLM simplement en analysant les fichiers. Vous trouverez ci-dessous quelques mesures que vous pouvez prendre pour vous protéger de telles attaques :

  • Mise à jour vers la dernière version de Windows : dans la mise à jour de sécurité du 14 octobre, Windows a désactivé les aperçus des fichiers marqués avec MoTW. Sous Windows 11, accédez à ParamètresMise à jour Windows et assurez-vous que les dernières mises à jour sont installées.
  • Effectuez une analyse comportementale des fichiers en ligne : une analyse antivirus ne sera pas efficace pour détecter les requêtes NTLM malveillantes. En cas de doute, vous devez analyser le fichier avec un outil d’analyse comportementale qui exécute le fichier dans un bac à sable et suit son comportement. Joe Sandbox et MetaDefender peuvent ouvrir un fichier dans un bac à sable pour suivre le comportement.
  • Protégez les informations d’identification NTLM : vous pouvez prendre des mesures proactives pour minimiser le succès d’une fuite NTLM. Suivez les méthodes de ce guide pour protéger les informations d’identification Windows NTLM contre les menaces.
  • Suivre le comportement des fichiers dans une machine virtuelle : vous pouvez créer une machine virtuelle pour tester le comportement du fichier afin de vous assurer qu’il n’envoie aucune requête réseau en aperçu. Vous pouvez utiliser Hyper-V sous Windows ou une application de machine virtuelle tierce pour créer une machine virtuelle, puis suivre l’utilisation d’Internet lors de la prévisualisation du fichier.
  • Désactivez l’aperçu de l’Explorateur de fichiers à l’échelle du système : pour éliminer la possibilité de fuite de hachage NTML via l’aperçu du fichier, vous pouvez simplement désactiver complètement les gestionnaires d’aperçu. Dans l’explorateur de fichiers, sélectionnez Possibilités de la Voir plus menu en haut. Ici, passez au Voir onglet et décochez Afficher les gestionnaires d’aperçu dans le volet d’aperçu entrée.

Activer les aperçus pour les fichiers de confiance

Si vous avez confirmé que le fichier téléchargé est sûr et que vous souhaitez le prévisualiser après la dernière mise à jour de Windows, vous devrez d’abord le débloquer avant de le prévisualiser. Voici comment procéder :

Faites un clic droit sur le fichier et sélectionnez Propriétés. Sous le Général onglet, vérifiez le Débloquer case à cocher dans le Sécurité et confirmez les modifications. Vous pourrez ensuite prévisualiser le fichier.

Option Débloquer le fichier dans les propriétés du fichier

Cependant, cette méthode n’est réalisable que lors du déblocage de fichiers individuels. Si vous avez beaucoup de fichiers à débloquer, vous devrez plutôt utiliser une commande PowerShell. Assurez-vous que tous les fichiers que vous souhaitez bloquer se trouvent dans le même dossier. Dans ce dossier, maintenez le Changement touche, cliquez avec le bouton droit dans un espace vide et sélectionnez Ouvrez la fenêtre PowerShell ici.

Menu contextuel classique WIndows 11

Dans PowerShell, exécutez la commande suivante :

Get-ChildItem -File | Unblock-File
Exécuter la commande de déblocage dans PowerShell

Cela débloquera tous les fichiers du dossier et vous pourrez les prévisualiser.

Ne pas pouvoir prévisualiser les fichiers par défaut peut être très frustrant, mais cela est nécessaire pour des raisons de sécurité jusqu’à ce que NTLM soit entièrement remplacé dans les futures versions de Windows. Vous devez également vous assurer d’utiliser des mots de passe uniques et forts pour minimiser l’impact d’une fuite de hachage NTLM.

Partager :
Facebook
Twitter
LinkedIn

Gentil Geek

Passionné d'informatique depuis ma plus tendre enfance aujourd'hui j'en ai fait mon métier. A vos côtés pour simplifier votre utilisation de l'informatique et vous permettre de gagner en compétences.

Poster le commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *