En février, Microsoft a terminé son approche en deux phases pour traiter la CVE-2020-1472, également connue sous le nom de Zerologon, une vulnérabilité critique d’élévation de privilèges dans Netlogon. L’impact de cette vulnérabilité ne peut pas être simplement extrapolé de son score CVSSv3 ou de son niveau de gravité.
Satnam Narang, Principal Research Engineer, chez Tenable, commente :
« Le fait que Zerologon ait conduit le gouvernement américain à publier une directive d’urgence à toutes les agences fédérales, afin d’appliquer rapidement les correctifs pour cette vulnérabilité, permet de mesurer la gravité de la situation.
Zerologon fournit aux attaquants un moyen fiable de se déplacer latéralement une fois à l’intérieur d’un réseau, leur donnant la possibilité d’usurper l’identité des systèmes, de modifier les mots de passe et d’obtenir les « clés du royaume » via le contrôleur de domaine lui-même.
Pour ces raisons, Zerologon a été intégré aux stratégies des cybercriminels, devenant un atout majeur pour des activités post-compromission. Nous avons également vu des rapports selon lesquels Zerologon était favorisé par des groupes de ransomware comme Ryuk au cours de leurs campagnes.
Cette deuxième phase étant achevée aujourd’hui, les organisations qui n’ont pas encore mis à jour Zerologon doivent le faire immédiatement. »
