Les attaques Zerologon contre les DC Microsoft ont augmentés

Une augmentation des tentatives d’exploitation contre la vulnérabilité Microsoft CVE-2020-1472, connue sous le nom de faille Zerologon, continue d’être observée.

Les tentatives de compromission, qui pourraient permettre un contrôle total sur les services d’identité Active Directory, explosent très peu de temps après que les exploits actifs de CVE-2020-1472(Zerologon) aient été signalés pour la première fois.

C’est ce que disent les chercheurs de Cisco Talos, qui ont averti que les cybercriminels redoublaient d’efforts pour exploiter la faille d’élévation de privilèges dans le protocole Netlogon Remote Protocol, qui a été abordé dans le rapport d’août de Microsoft Patch Tuesday. Microsoft a annoncé récemment avoir commencé à observer une exploitation active dans la nature: «Nous avons observé des attaques où des exploits publics ont été incorporés dans l’arsenal des pirates informatiques», a tweeté la firme.

Maintenant, le volume des attaques Zerologon augmente, selon Cisco Talos, et les enjeux sont élevés. Netlogon, disponible sur les contrôleurs de domaine Windows, est utilisé pour diverses tâches liées à l’authentification des utilisateurs et des machines. Un exploit réussi permet à un attaquant non authentifié disposant d’un accès réseau à un contrôleur de domaine (DC) de compromettre complètement tous les services d’identité Active Directory, selon Microsoft.

“Cette faille permet aux attaquants d’usurper l’identité de n’importe quel ordinateur, y compris le contrôleur de domaine lui-même et d’accéder aux informations d’identification d’administrateur de domaine”, a ajouté Cisco Talos, dans un article. «La vulnérabilité provient d’une faille dans un schéma d’authentification cryptographique utilisé par Netlogon Remote Protocol qui, entre autres, peut être utilisé pour mettre à jour les mots de passe des ordinateurs en forgeant un jeton d’authentification pour des fonctionnalités spécifiques de Netlogon.»

microsoft windows

Quatre exploits de preuve de concept (PoC) ont été récemment publiés pour le problème, qui est une faille critique notée 10 sur 10 sur l’échelle de gravité CvSS. Cela a incité la Cybersecurity and Infrastructure Security Agency (PDF) des États-Unis à émettre une mise en garde selon laquelle «la vulnérabilité pose un risque inacceptable pour le pouvoir exécutif fédéral civil et nécessite une action immédiate et d’urgence.» Ils ont également exigé que les agences fédérales patchent leurs serveurs Windows contre Zerologon, dans une rare directive d’urgence émise par le secrétaire de la Sécurité intérieure.

Une correction en 2 parties pour Zerologon

Le processus de mise à jour des correctifs de Microsoft pour Zerologon est un déploiement progressif en deux parties.

Le correctif initial pour la vulnérabilité Zerologon a été déployé dans le cadre des mises à jour de sécurité du mardi 11 août du géant de l’informatique, qui résout le problème de sécurité dans les domaines Active Directory, ainsi que dans les appareils Windows.

Cependant, pour atténuer complètement le problème de sécurité des appareils tiers, les utilisateurs devront non seulement mettre à jour leurs contrôleurs de domaine, mais également activer le mode “enforcement”. Selon Microsoft, ils devraient également surveiller les logs d’événements pour savoir quels appareils établissent des connexions vulnérables et communiquent avec des appareils non conformes.

«À partir de février 2021, le mode “enforcement” sera activé sur tous les contrôleurs de domaine Windows et bloquera les connexions vulnérables des appareils non conformes», a-t-il déclaré. “À ce moment-là, vous ne pourrez pas désactiver le mode ‘enforcement’.”

zerologon

Récemment, Samba et 0patch ont déployé des correctifs pour CVE-2020-1472, pour combler certaines des lacunes que le correctif officiel ne résout pas, pour les versions en fin de vie de Windows par exemple.

Samba, un utilitaire tiers de partage de fichiers pour échanger entre les systèmes Linux et Windows, repose sur le protocole Netlogon et souffre donc de cette vulnérabilité. La faille intervient lorsque Samba est utilisé uniquement comme contrôleur de domaine.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x