Sécurité : A partir du mois de février, Microsoft obligera les contrôleurs de domaine à utiliser des connexions sécurisées par défaut. Un moyen de lutter contre l’utilisation des failles Zerologon par des attaquants, devenue de plus en plus fréquente.
Zerologon est une faille de sécurité découverte au mois de septembre et corrigée au mois d’août 2020 par Microsoft. Identifiée par le nom CVE 2020 1472, cette faille de sécurité est une élévation de privilège affectant le protocole Netlogon Remote Protocol et qui permet à un attaquant non authentifié de se connecter à un contrôleur de domaine Active Directory et d’en prendre le contrôle. Dans un post de blog, Microsoft rappelle à ses utilisateurs qu’à compter de la mise à jour du 9 février 2021, les contrôleurs de domaine ne prendront plus en charge les connexion non sécurisées au travers de Netlogon, via l’application du mode « DC enforcement mode » (ou « mode d’application DC » en version française).
« Cela bloquera les connexions des appareils n’utilisant pas une version sécurisée du protocole. Le mode d’application DC exige que tous les appareils Windows et non Windows utilisent une version sécurisée de RPC via un canal Netlogon sécurisé, sauf si les clients ont explicitement autorisé les connexions vulnérables en ajoutant une exception pour la machine concernée », indique Aanchal Gupta, VP Azure Security chez Microsoft.
Ce n’est pas une nouveauté : Microsoft avait annoncé depuis longtemps que ce mode d’application DC serait automatiquement activé à partir du 9 février, et recommandait aux administrateurs de ne pas attendre la date fatidique pour mettre en œuvre ce mode. publicité
Patcher avant de ne plus avoir le choix
L’objectif de Microsoft est de pousser les utilisateurs à appliquer les correctifs pour la faille Zerologon. Les correctifs de cette vulnérabilité ont été initialement publiés par Microsoft au mois d’août 2020. Microsoft a également mis à jour ses directives visant à accompagner les entreprises qui souhaitent corriger cette faille sur leurs réseaux : celle-ci se découpe maintenant en quatre étapes simples, visant tout d’abord à mettre à jour les contrôleurs de domaine concernés avec les mises à jour correspondantes, puis à identifier les machines du réseau qui utilisent encore des versions non sécurisées et enfin à activer le mode d’application DC, pour s’assurer que le contrôleur de domaine n’accepte que les connexions sécurisées.
Zerologon est une faille particulièrement inquiétante dans les mains d’un attaquant, et comme le signalait Microsoft, plusieurs attaques exploitant cette vulnérabilité ont déjà été détectées par ses soins. Peu de temps après la publication des alertes, plusieurs preuves de concept étaient disponibles sur internet, rendant la vulnérabilité facile à exploiter. Cette faille permet à des attaquants de prendre le contrôle de l’Active Directory d’une entreprise, un objectif fréquemment visé par les groupes de ransomware, qui peuvent ainsi facilement déployer leurs logiciels malveillants à grande échelle au sein de l’entreprise.