Selon CrowdStrike, cette analyse décrit CVE-2025-54918, une vulnérabilité critique permettant la compromission de contrôleurs de domaine Active Directory via coercition d’authentification et NTLM relay.
⚙️ Mécanisme: l’attaque abuse du protocole MS-RPRN (technique « PrinterBug ») pour forcer l’authentification du contrôleur de domaine, intercepte les paquets NTLM, retire les drapeaux de sécurité SEAL et SIGN tout en préservant LOCAL_CALL, puis relaie l’authentification modifiée vers LDAP/LDAPS afin d’obtenir des privilèges SYSTEM. Elle ne requiert qu’un compte de domaine faiblement privilégié et contourne des contrôles comme le channel binding et la signature LDAP.
🔎 Détection: l’identification repose sur la surveillance du trafic d’authentification NTLM avec des corrélations ciblant des indicateurs précis et des motifs LDAP anormaux.
- Indicateurs (détection):
- Champs d’identifiant (username) vides
- Présence du drapeau LOCAL_CALL dans l’authentification réseau
- Drapeaux NTLM modifiés (retraits de SIGN/SEAL)
- Patrons LDAP anormaux
🛡️ Atténuation: le texte mentionne le patching, la désactivation du Print Spooler, l’application de la signature SMB/LDAP, la mise en place d’LDAPS avec channel binding, et le déploiement de capacités de monitoring via Falcon Next-Gen SIEM et Identity Protection de CrowdStrike. Il s’agit d’une analyse technique de vulnérabilité visant à exposer le mode opératoire, les indicateurs de détection et les pistes de mitigation.
🔗 Source originale : https://www.crowdstrike.com/en-us/blog/analyzing-ntlm-ldap-authentication-bypass-vulnerability/