Posté le octobre 6, 2020 à 11:17

LA VULNÉRABILITÉ ZEROLOGON EXPLOITÉE PAR LES HACKERS IRANIENS, SELON MICROSOFT

Dans une annonce faite lundi, Microsoft, le géant du logiciel, a clairement indiqué que des hackers sponsorisés par l’État iranien exploitent actuellement une vulnérabilité Zerologon. Ces hackers, selon Microsoft, le font dans le cadre de campagnes de piratage réelles.

Si une attaque de ces hackers réussit, ces acteurs malveillants peuvent s’emparer des serveurs Domain Controller (DC), qui servent de pièces maîtresses pour toute une série de réseaux d’entreprise. Cela permettrait à ces acteurs malveillants d’obtenir un contrôle total sur leurs cibles respectives.

Les attaques commanditées par le gouvernement iranien

L’attaque elle-même a été détectée par le Centre de renseignement sur les menaces de Microsoft, ou MSTIC, et se serait produite pendant au moins deux semaines. L’entreprise l’a révélé par le biais d’un bref message sur Twitter.

MSTIC has observed activity by the nation-state actor MERCURY using the CVE-2020-1472 exploit (ZeroLogon) in active campaigns over the last 2 weeks. We strongly recommend patching. Microsoft 365 Defender customers can also refer to these detections: https://t.co/ieBj2dox78

— Microsoft Security Intelligence (@MsftSecIntel) October 5, 2020

Le MSTIC a lié ces cyberattaques à un groupe de hackers iraniens. Ces hackers sont désignés par la société sous le nom de MERCURY, mais sont plus largement connus sous leur surnom : MuddyWatter.

On pense que ce groupe sert d’entrepreneur, étant directement employé par le gouvernement iranien. En particulier, on pense que ces hackers opèrent sous le commandement du Corps des gardiens de la révolution islamique, qui est le principal service militaire et de renseignement de l’Iran.

Différents groupes sont ciblés

Comme le stipule le rapport annuel de Microsoft Digital Defence Report, ce groupe a historiquement ciblé toute une série de groupes, allant des organisations intergouvernementales aux ONG, en passant par les organisations de défense des droits de l’homme et les groupes d’aide humanitaire gouvernementaux.

Dans sa déclaration, Microsoft a souligné que les dernières cibles de MuddyWatter comptent un grand nombre de groupes qui opèrent avec des réfugiés, et incluent également les fournisseurs de technologie réseau du Moyen-Orient.

Un exploit extrêmement dangereux

Pour beaucoup, Zerologon est le bogue le plus dangereux qui ait jamais été révélé pour 2020. Le bogue est une vulnérabilité de Netlogon, un protocole exploité par le système Windows. Ce protocole est utilisé pour s’authentifier par rapport à un serveur Windows fonctionnant comme un contrôleur de domaine.

Grâce à l’exploitation de Zerologon, les hackers sont capables de prendre le contrôle complet d’un contrôleur de domaine non patché et, par extension, du réseau interne de l’entreprise.

En général, les attaques doivent être effectuées par le biais des réseaux internes. Cependant, si le contrôleur de domaine est exposé en ligne, une attaque peut être menée à distance, sur Internet.

C’est en août dernier que Microsoft a publié des correctifs pour Zerologon, appelés CVE-2020-1472. Cependant, la première description détaillée de ce bogue a été publiée en septembre, dans le but de retarder les attaques, pour la plupart.

L’éternelle bataille de la cybersécurité

Malheureusement, bien que les chercheurs en sécurité aient retardé la publication de leurs rapports afin de donner aux administrateurs du système plus de temps pour les corriger, cela n’a pas suffi. Presque le même jour que l’envoi du rapport détaillé, un code de preuve de concept armé pour Zerologon a été publié.

Comme on peut l’imaginer, une vague d’attaques s’est produite en quelques jours alors que l’information se répandait comme une traînée de poudre par le biais de groupes clandestins.

Après la révélation du bogue, la DGS avait donné aux agences fédérales trois jours pour corriger leurs contrôleurs de domaine, ou pour se déconnecter du réseau fédéral. Cette mesure visait à protéger le réseau contre les attaques, qui se sont produites, comme l’agence l’avait prédit, en quelques jours.

Il semble que MuddyWatter ait commencé ses attaques environ une semaine après la publication du code de validation du concept. À peu près à la même époque, Microsoft avait commencé à enregistrer les premières tentatives d’exploitation de Zerologon.

La cybersécurité est une guerre sans fin, une course aux outils et aux exploits, car un groupe tente ardemment d’exploiter des logiciels que l’autre groupe tente farouchement de se défendre. C’est une guerre qui va sans aucun doute faire rage en perpétuelle évolution avec la technologie mondiale croissante.

Comme toujours, il est vivement conseillé aux utilisateurs de tenir leurs systèmes à jour et de prendre part à diverses mesures de sécurité afin de s’assurer que leurs systèmes respectifs ne soient pas exploités par des acteurs malveillants comme celui-ci. Avec un peu de chance, tout le monde appliquera ce patch, et Zerologon disparaîtra, comme beaucoup d’autres avant lui.