VBScript et NTLM en voie d’extinction chez Microsoft

Clément Bohic,
Linkedin
VBScript NTLM Microsoft sécurité

Microsoft vient d’officialiser l’obsolescence de VBScript et son intention de supprimer NTLM de Windows.

C’est officiel depuis quelques jours : VBScript est obsolète.

Dans les prochaines versions de Windows, le langage de script fera partie des fonctionnalités optionnelles dites « à la demande ». Comme .NET, Hyper-V ou le sous-système Linux. Il est question de le mettre hors service… « à terme ».

Microsoft avait lancé VBScript en 1996. Il n’a pas réussi à l’imposer au-delà de son écosystème. La dernière version date de 2010. Soit quatre ans après le lancement de PowerShell, qui a aujourd’hui pris le relais.

VBScript avait déjà été désactivé par défaut dans Internet Explorer (mi-2019), avant que le navigateur soit lui-même retiré de la circulation (mi-2022). Toujours pris en charge au niveau OS, il a constitué un vecteur de diffusion de malwares. Emotet, Qbot et, plus récemment, Darkgate, en ont tiré profit.

Restreindre les langages de script pour éviter des activités malveillantes en est devenu une recommandation courante. Un récent bulletin commun de la CISA et la NSA en témoigne.

Booster Kerberos pour tourner la page NTLM

Ce même bulletin appelle aussi à désactiver les protocoles d’authentification hérités… comme NTLM (New Technology LAN Manager). En particulier parce qu’il est le support d’attaques dites pass-the-hash (authentification par l’intermédiaire de hashs de mots de passe) ou de « relais NTLM » (on force des machines à s’authentifier sur des serveurs malveillants). Le groupe cybercriminel FIN12, auquel l’ANSSI attribue de nombreuses attaques par rançongiciel survenues en France, a exploité ce type de vulnérabilité. Même chose, entre autres, pour le ransomware LockFile, pour cibler des serveurs Exchange en combinaison avec la faille ProxyShell.

Chez Microsoft, Kerberos a pris le relais comme protocole par défaut depuis Windows 2000. Mais NTLM reste disponible comme système de secours. D’une part parce que certaines applications se fondent encore sur lui. D’autre part – et ce peut être une explication liée au premier point – parce qu’il a certaines fonctionnalités propres. Par exemple, la gestion des comptes locaux et de l’authentification sans connaissance du serveur cible.

De longue date, Microsoft invite à désactiver NTLM. Ou au moins à renforcer la sécurité en utilisant les services de certificat Active Directory. L’éditeur va désormais plus loin : il annonce son intention de supprimer le protocole de Windows 11. Sans toutefois donner d’échéance : il « surveillera l’évolution de l’usage » et « détermination lorsque la désactivation sera appropriée ».

Pour pousser à basculer, Kerberos sera enrichie des fameuses fonctionnalités qui lui font défaut. D’un côté, il y aura IAKerb, qui permettra à un client de s’authentifier sur un contrôleur de domaine par l’intermédiaire d’un proxy. De l’autre, un « centre de distribution de clés » qui exploitera le SAM local pour étendre le support de Kerberos aux comptes locaux.

En parallèle, on nous promet une gestion plus fine de NTLM. Cela se traduira par des logs plus précis et par la possibilité de bloquer le protocole au niveau des services.

Illustration générée par IA