Mardi 11 août 2020, Microsoft a publié l’alerte de sécurité CVE-2020-1472 « Élévation de privilège sur Netlogon », aussi appelée « ZeroLogon ». Cette vulnérabilité affecte le protocole distant Netlogon (aussi appelé MS-NRPC pour Microsoft Netlogon Remote Protocol), utilisé par les machines reliées à un domaine Windows.
La CVE-2020-1472 est liée à un défaut d’implémentation de la technique de chiffrement AES-128-CFB8. Cette vulnérabilité permet par exemple à un utilisateur malveillant de prendre le contrôle total et à distance d’un contrôleur de domaine, ou de modifier le mot de passe d’un utilisateur du domaine.
Les systèmes affectés sont les actifs Windows Server 2008 / 2012 / 2012 R2 / 2016 / 2019 / Server 1903, 1909, 2004 qui n’ont pas installé la mise à jour de sécurité du 11 août 2020, avec une attention toute particulière à porter aux systèmes qui agissent comme contrôleurs de domaines. La liste détaillée de ces éléments est disponible sur le site de l’Agence Nationale de la Sécurité des Systèmes d’Information (https://www.cert.ssi.gouv.fr/alerte…).
Pour plus d’informations techniques sur l’origine et le fonctionnement de la vulnérabilité, vous pouvez consulter l’article du blog technique Cyberwatch « Comment identifier et neutraliser la vulnérabilité CVE-2020-1472 (ZeroLogon / Netlogon) ? ».
Plusieurs exploits sont d’ores et déjà disponibles gratuitement et publiquement sur GitHub, dont le kit https://github.com/dirkjanm/CVE-202…. Kevin Beaumont, analyste au « Microsoft Threat Intelligence Global Engagement & Response », a indiqué avoir détecté des tentatives d’exploitation de cette vulnérabilité dès le samedi 26 septembre 2020, confirmant ainsi la probabilité de subir une attaque à l’aide de ZeroLogon.
Recommandations
Microsoft a mis à disposition les mises à jour de sécurité suivantes : • KB4571729 / KB4571719 pour Windows Server 2008 R2 • KB4571736 / KB4571702 pour Windows Server 2012 • KB4571703 / KB4571723 pour Windows Server 2012 R2 • KB4571694 pour Windows Server 2016 • KB4565349 pour Windows Server 2019 • KB4565351 pour Windows Server version 1903 et version 1909 • KB4566782 pour Windows Server version 2004 Note : les mises à jour cumulatives publiées en septembre 2020 permettent également de neutraliser la vulnérabilité.
Microsoft recommande d’appliquer ces mises à jour en ciblant en priorité les contrôleurs de domaine, et incite également à configurer les connexions de canaux sécurisés Netlogon suivant la procédure définie ici : https://support.microsoft.com/fr-fr….
Cyberwatch recommande par ailleurs de consulter le bulletin de l’Agence Nationale de la Sécurité des Systèmes d’Information CERTFR-2020-ALE-020, qui dispose notamment de marqueurs techniques de codes d’exploitation.
Cyberwatch recommande enfin d’effectuer une recherche de la vulnérabilité sur votre système d’information dans les plus brefs délais, en ciblant a minima les contrôleurs de domaine.