Posté le octobre 26, 2020 à 12:51

UNE NOUVELLE MENACE POUR LES SERVEURS WINDOWS : VULNÉRABILITÉS ZEROLOGON

Une nouvelle vulnérabilité CVE (Common Vulnerability & Exposure) a été découverte par les chercheurs en sécurité. Le CVE a été baptisé Zerologon, avec une mise à jour de sécurité de Microsoft du 11 août qui en donne les détails, le nom officiel étant CVE-2020-147.

Un grave exploit

La mise à jour détaille comment l’exploit peut se produire si une attaque établit une connexion vulnérable du canal sécurisé Netlogon au contrôleur de domaine par l’utilisation du protocole à distance Netlogon (MS-NRPC). Si l’attaquant réussit à exploiter la vulnérabilité, il peut alors exécuter une application sur l’appareil spécialement développé pour le piratage.

Microsoft a assuré au public qu’elle travaillait sur le problème et qu’elle publierait un correctif en deux étapes. Selon Microsoft, le problème sera résolu en ajustant la manière dont Netlogon gère l’utilisation des canaux sécurisés de Netlogon en son sein.

Netlogon permet à un contrôleur de domaine d’authentifier les ordinateurs et de mettre à jour les mots de passe dans l’Active Directory. Cette fonctionnalité est particulièrement vulnérable à ce CVE, car elle permet aux hackers de se faire passer pour n’importe quel ordinateur du réseau de l’entreprise.

De là, il peut modifier le mot de passe du réseau, même si le réseau dispose d’une authentification à double facteur activée. Grâce à l’exploit Netlogon, les hackers sont capables d’obtenir un accès administratif, de changer le mot de passe du contrôleur de domaine, ainsi que de prendre le contrôle de l’ensemble du réseau.

Mesures préventives immédiates

Après avoir découvert l’exploit Zerologn, Microsoft a immédiatement mis en place un correctif, qui constitue la première partie de son déploiement progressif. Ce déploiement devrait s’achever au cours des premiers mois de 2021.

Microsoft avait choisi de publier ces mises à jour de correctifs par étapes, car les changements de protocole pouvaient gravement compromettre les serveurs et les réseaux qui n’étaient pas encore mis à jour.

Tout serveur Windows qui reçoit des mises à jour de sécurité de Microsoft avait déjà reçu ce correctif. Cependant, il convient de noter que de nombreux réseaux utilisent des périphériques autres que Windows, ou optent plutôt pour les anciens périphériques Windows. Ces dispositifs, à leur tour, utilisent toujours le protocole pour communiquer avec les contrôleurs de domaine.

Dans l’état actuel des choses, le patch du Zerologon qui a été publié en août bloque toute forme d’attaque. De plus, des protocoles ont déjà été mis en place pour que les clients non conformes puissent toujours communiquer avec les contrôleurs de domaine, ce qui évitera des pannes généralisées.

La course aux solutions

C’est le 14 décembre que le Département de la sécurité intérieure a envoyé une directive d’urgence par le biais de son Agence de cybersécurité et de sécurité des infrastructures. Cette directive obligeait toute agence fédérale utilisant le serveur Windows à effectuer d’abord les correctifs nécessaires. C’était une réponse directe aux menaces de sécurité à haut risque qui pesaient sur les informations du ministère de la sécurité intérieure.

Une date limite a été fixée au 21 septembre, les serveurs dont les contrôleurs de domaine n’ont pas été mis à jour à cette date étant rapidement débranchés du réseau dans son ensemble.

Comme toujours, il a d’abord été demandé aux organisations potentiellement menacées par des attaques Zerologon de travailler en collaboration avec leurs départements informatiques respectifs afin de mettre en œuvre le correctif et de s’assurer qu’il a bien été appliqué.

Le patch du mois d’août comprenait cinq Event ID distincts concernant la connexion vulnérable de Netlogon. Si une connexion par canal sécurisé est autorisée au cours de la phase initiale de déploiement, l’Event ID 5829 sera généré à son tour.

Quelques conseils de sécurité

Afin de détecter la vulnérabilité Zerologon au sein de votre réseau respectif, il faut rechercher l’Event ID 4742. Cet Event concerne les utilisateurs de « ANONYMOUS LOGON », en particulier.

À partir de là, il est recommandé de vérifier si le champ « Password Last Set » (dernier mot de passe) a été modifié. À partir de là, le service informatique peut passer au peigne fin tous les contrôleurs de domaine pour détecter toute activité dans l’Active Directory, à la recherche du code malveillant.

Les administrateurs sont capables de surveiller les deux Event ID, 5827 et 5828. Ces Event ID se déclenchent dès qu’une connexion Netlogon a été refusée. Il convient toutefois de noter que les Event ID 5830 et 5831 sont le résultat de la politique de groupe qui autorise également les contrôleurs de domaine corrigés à partir des connexions Netlogon.

Comme le correctif de vulnérabilité évolue au fil du temps, les organisations ont été invitées à continuer de surveiller leurs réseaux. Il convient de noter que Microsoft n’a pas encore trouvé de solution de contournement ou de facteurs atténuants pour la vulnérabilité, ce qui fait du correctif Zerologon votre seule option.