Un exploit de la faille Zerologon est disponible sur le net

Un code d’exploitation de preuve de concept (PoC) a été publié pour la faille Zerologon de Windows. Cela pourrait permettre aux attaquants d’infiltrer les entreprises en obtenant des privilèges administratifs, leur donnant ainsi accès aux contrôleurs de domaine Active Directory (DC) des entreprises.

La vulnérabilité, baptisée «Zerologon», est un problème d’élévation de privilèges (CVE-2020-1472) avec un score CVSS de 10 sur 10, ce qui en fait un problème de gravité critique. La faille a été corrigée dans les mises à jour de sécurité de Microsoft du mois d’Août 2020. Cependant, au moins quatre exploits de la faille ont été publiés sur Github, et des chercheurs de Secura (qui ont découvert la faille) ont publié des détails techniques sur la vulnérabilité.

«Cette attaque a un impact énorme: elle permet essentiellement à tout attaquant sur le réseau local (comme un initié malveillant ou quelqu’un qui a simplement branché un appareil sur un port réseau sur site) de compromettre complètement le domaine Windows», ont déclaré des chercheurs de Secura, dans un rapport. «L’attaque Zerologon est totalement non authentifiée: l’attaquant n’a pas besoin d’informations d’identification d’utilisateur.»

microsoft patch tuesday

La faille Zerologon provient du protocole Netlogon Remote, disponible sur les contrôleurs de domaine Windows, qui est utilisé pour diverses tâches liées à l’authentification des utilisateurs et des machines.

Plus précisément, le problème se trouve dans l’utilisation du chiffrement AES-CFB8 pour les sessions Netlogon. La norme AES-CFB8 exige que chaque «octet» de texte en clair ait un vecteur d’initialisation aléatoire, empêchant les attaquants de deviner les mots de passe. Cependant, la fonction ComputeNetlogonCredential de Netlogon définit le vecteur d’initialisation sur une valeur fixe de 16 bits – non aléatoire – ce qui signifie qu’un attaquant pourrait contrôler le texte déchiffré.

Lors d’une attaque dans le monde réel, les attaquants pourraient envoyer un certain nombre de messages Netlogon dans lesquels divers champs sont remplis de zéros, leur permettant de contourner ces mesures d’authentification, et d’accéder et de modifier le mot de passe de l’ordinateur du contrôleur de domaine qui est stocké dans Active Directory (AD), ont déclaré les chercheurs.

«En raison d’une utilisation incorrecte d’un mode de fonctionnement AES, il est possible d’usurper l’identité de tout compte (y compris celui du [contrôleur de domaine] lui-même) et de définir un mot de passe vide pour ce compte dans le domaine», selon les chercheurs de Secura .

zerologon

Il est à noter que pour exploiter la vulnérabilité Zerologon, l’attaquant devrait lancer l’attaque à partir d’une machine sur le même réseau local (LAN) que sa cible – ce qui signifie qu’il aurait déjà besoin d’un pied à l’intérieur du réseau ciblé.

«Un client vulnérable ou contrôleur de domaine exposé à Internet n’est pas exploitable par lui-même», selon des chercheurs de Tenable dans une analyse de la faille. «L’attaque nécessite que la connexion usurpée fonctionne comme une tentative de connexion de domaine normale. Active Directory (AD) devrait reconnaître le client qui se connecte comme faisant partie de sa topologie de réseau, ce qui ne serait pas le cas avec des adresses externes. »

Cependant, si les attaquants sont en mesure d’exploiter la faille, ils peuvent usurper l’identité de n’importe quelle machine sur un réseau lorsqu’ils tentent de s’authentifier auprès du contrôleur de domaine – permettant de nouvelles attaques, y compris la prise de contrôle complète d’un domaine Windows, ont déclaré les chercheurs.

«Dans une attaque hypothétique, on pourrait utiliser cette vulnérabilité pour déployer un rançongiciel dans toute une organisation et maintenir une présence persistante si les efforts de nettoyage et de restauration manquent certains scripts malveillants supplémentaires», ont déclaré les chercheurs de Tenable. «Les organisations disposant de sauvegardes accessibles au réseau pourraient se retrouver dans une situation compliquée si un rançongiciel détruisait les sauvegardes pour augmenter leurs chances de paiement de la part de l’organisation victime.»

Comment se protéger de la faille Zerologon?

Avec au moins quatre exploits désormais disponibles sur GitHub, les chercheurs en sécurité et les autorités gouvernementales américaines recommandent aux administrateurs de veiller à appliquer les correctifs d’Août de Microsoft. Ces correctifs résolvent ce problème en appliquant le protocole Secure Netlogon Remote (c’est-à-dire la signature et le scellement de Netlogon) pour tous les serveurs et clients Windows du domaine.

Microsoft, pour sa part, s’attaque à la vulnérabilité Zerologon dans un déploiement par étapes. La phase de déploiement initiale a commencé avec les mises à jour de Windows distribuées le 11 août 2020, tandis que la deuxième phase, prévue pour le premier trimestre de 2021, sera une «phase d’application».

«Les contrôleurs de domaine seront placés en mode imposition, ce qui oblige tous les appareils Windows et non Windows à utiliser un appel de procédure à distance (RPC) sécurisé avec le canal sécurisé Netlogon ou à autoriser explicitement le compte en ajoutant une exception pour tout appareil non conforme» dit Microsoft.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x