La vulnérabilité Zerologon reçoit de nouveaux patchs

La vulnérabilité de Windows, connue sous le nom de Zerologon, a obtenu une assistance de correctif venant de deux sources non-Microsoft, qui s’efforcent de combler les lacunes que le correctif officiel n’adresse pas.

Ces patchs sont déployés alors que Microsoft a annoncé qu’ils suivaient l’exploitation active dans la nature. “Nous avons observé des attaques où des exploits publics ont été incorporés dans les playbooks des attaquants”, a tweeté la firme américaine.

Samba et 0patch ont publié des correctifs pour CVE-2020-1472, une faille d’élévation de privilèges qui, comme indiqué précédemment, provient du protocole Netlogon Remote, disponible sur les contrôleurs de domaine Windows, qui est utilisé pour diverses tâches liées à l’utilisateur et à l’authentification de machine.

Exploiter Zerologon permet à un attaquant non authentifié disposant d’un accès réseau à un contrôleur de domaine de compromettre complètement tous les services Active Directory, selon Microsoft. Une preuve de concept vient d’être publiée pour le bug, qui est une faille critique dotée d’un score de 10 sur 10 sur l’échelle de gravité CvSS.

«Cette attaque a un impact énorme: elle permet essentiellement à tout attaquant sur le réseau local (comme un initié malveillant ou quelqu’un qui a simplement branché un appareil sur un port réseau sur site) de compromettre complètement le domaine Windows», ont déclaré des chercheurs de Secura, dans un rapport.

Microsoft a déployé un correctif pour la faille Zerologon en Août, lors de ses mises à jour régulières du Patch Tuesday. Cependant, tous les systèmes ne sont pas compatibles avec le correctif, selon Mitja Kolsec, PDG et co-fondateur de 0patch, qui a publié son propre «micropatch» pour la vulnérabilité.

«Notre micropatch a été conçu pour Windows Server 2008 R2, qui a atteint la fin de support en janvier et a cessé de recevoir des mises à jour de Windows», a déclaré Kolsec. «De nombreuses organisations utilisent encore ce serveur et le seul moyen pour lui d’obtenir des mises à jour de sécurité étendues de Microsoft était de le déplacer vers Azure (cloud), ce qui est une option inacceptable pour la plupart des organisations.»

microsoft

Le micropatch est logiquement identique au correctif de Microsoft, a-t-il expliqué dans un récent article de blog: «Nous l’avons injecté dans la fonction NetrServerAuthenticate3 à peu près au même endroit où Microsoft a ajouté l’appel à NlIsChallengeCredentialPairVulnerable, mais puisque ce dernier n’existe pas dans les anciennes versions de netlogon.dll, nous avons dû implémenter sa logique dans notre patch. »

0patch porte également le micropatch sur divers serveurs Windows toujours pris en charge pour les clients qui, pour diverses raisons, ne peuvent pas appliquer le correctif Microsoft, a-t-il ajouté.

zerologon

Pendant ce temps, il s’avère que Samba, un utilitaire de partage de fichiers permettant d’échanger des matériaux entre les systèmes Linux et Windows, repose également sur le protocole Netlogon, et souffre donc de la vulnérabilité Zerologon.

La faille intervient lorsque Samba est utilisé uniquement comme contrôleur de domaine (plus sérieusement l’Active Directory DC, mais aussi le DC de style NT4), a-t-il déclaré dans un avis. Il a ajouté: «Les installations exécutant Samba en tant que serveur de fichiers uniquement ne sont pas directement affectées par cette faille, bien qu’elles puissent avoir besoin de modifications de configuration pour continuer à communiquer avec les contrôleurs de domaine.»

La société a noté que les versions 4.8 et supérieures de Samba ne sont vulnérables que si elles ont les lignes «server schannel = no» ou «server schannel = auto» dans smb.conf. Les versions 4.7 et inférieures de Samba sont vulnérables à moins qu’elles n’aient «serveur schannel = yes» dans le smb.conf.

Zerologon concerne des organisations importantes

La Cybersecurity and Infrastructure Security Agency(CISA) des États-Unis a publié une directive d’urgence permettant aux agences fédérales de corriger la faille. Les agences fédérales qui n’ont pas corrigé leurs serveurs Windows contre la vulnérabilité Zerologon avant le lundi 21 septembre à 23h59 sont en violation. Et à la lumière de l’exploitation active signalée par Microsoft, les correctifs devraient figurer en tête de la liste des tâches pour toutes les organisations.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x