Microsoft implémente le mode de mise en œuvre pour la faille Zerologon

0

Microsoft a décidé de prendre les choses en main lorsqu’il s’agit d’entreprises qui n’ont pas encore mis à jour leurs systèmes pour remédier à la faille critique Zerologon. Le géant de la technologie bloquera bientôt par défaut les connexions vulnérables sur les appareils qui pourraient être utilisés pour exploiter la faille.

À partir du 9 février 2021, Microsoft a déclaré qu’il activerait le «mode de mise en œuvre» du contrôleur de domaine par défaut, une mesure qui aiderait à atténuer la menace.

Les contrôleurs de domaine Microsoft Active Directory sont au cœur de la vulnérabilité Zerologon. Les contrôleurs de domaine répondent aux requêtes d’authentification et vérifient les utilisateurs sur les réseaux informatiques. Un exploit réussi de la faille permet aux attaquants non authentifiés ayant accès au réseau des contrôleurs de domaine de compromettre complètement tous les services d’identité Active Directory.

microsoft

Le mode de mise en œuvre du contrôleur de domaine «bloquera les connexions vulnérables des appareils non conformes», a déclaré Aanchal Gupta, vice-président de l’ingénierie chez Microsoft dans un article. «Le mode de mise en œuvre du contrôleur de domaine exige que tous les appareils Windows et non Windows utilisent un RPC sécurisé avec un canal Netlogon sécurisé, sauf si les clients ont explicitement autorisé le compte à être vulnérable en ajoutant une exception pour l’appareil non conforme.»

Secure RPC est une méthode d’authentification qui authentifie à la fois l’hôte et l’utilisateur qui fait une requête pour un service.

Une implémentation de Microsoft bien accueillie

Cette nouvelle implémentation est une tentative pour empêcher les cybercriminels d’accéder au réseau des contrôleurs de domaine, qu’ils peuvent utiliser pour exploiter le problème d’élévation de privilèges de Zerologon (CVE-2020-1472). La faille, dotée d’un score CVSS de 10 sur 10, a été corrigée pour la première fois dans les mises à jour de sécurité de Microsoft du mois d’Août 2020. Mais à partir de Septembre, au moins quatre exploits publics de preuve de concept (PoC) pour la faille ont été publiés sur Github, ainsi que des détails techniques sur la vulnérabilité.

Le mode de mise en œuvre « est une décision bienvenue car il s’agit d’une vulnérabilité potentiellement dommageable qui pourrait être utilisée pour détourner tous les privilèges d’administrateur de domaine – les éléments les plus importants de tout réseau fournissant à un attaquant un accès complet sur le réseau de serveurs Windows, » a expliqué Mark Kedgley, directeur technique de New Net Technologies (NNT). «En définissant ce paramètre par défaut, il est clair qu’il est considéré comme trop dangereux de le laisser ouvert. [Le] message adressé à tout le monde est de corriger souvent et régulièrement et de vous assurer que votre norme de construction de configuration sécurisée est à jour avec les dernières recommandations du [Center for Internet Security] ou du [Security Technical Implementation Guide]. »

microsoft

Zerologon est devenu un problème plus sérieux pour Microsoft au cours des derniers mois alors que plusieurs cybercriminels et des groupes de menaces persistantes avancées (APT) se sont intéressés à la vulnérabilité, y compris des cybercriminels comme l’APT Cicada, soutenu par la Chine, et le groupe APT MERCURY.

«Les attaques signalées ont commencé à se produire dans les deux semaines suivant la divulgation de la vulnérabilité», a déclaré Ivan Righi, analyste du renseignement sur les cyber-menaces chez Digital Shadows. «APT10 (alias Cicada, Stone Panda et Cloud Hoppe) a également été observé utilisant Zerologon pour cibler les entreprises japonaises au mois de Novembre 2020.»

Gupta a pour sa part déclaré que les organisations peuvent prendre quatre mesures pour se débarrasser de cette grave faille: mettre à jour leurs contrôleurs de domaine vers une mise à jour déployée le 11 août 2020 ou plus tard; trouver quels périphériques établissent des connexions vulnérables (via la surveillance des événements du log); traiter ces appareils non conformes établissant les connexions vulnérables; et l’activation du mode mise en œuvre du contrôleur de domaine.

«Compte tenu de la gravité de la vulnérabilité, il est conseillé que tous les contrôleurs de domaine soient mis à jour avec le dernier correctif de sécurité dès que possible», a déclaré Righi.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire