En août, Microsoft a révélé que son protocole distant Windows Netlogon (MS-NRPC) présentait une vulnérabilité critique. Cependant, ce n'est que la semaine dernière que les premiers rapports de cybercriminels attaquant activement en profitant sont apparus. Cette vulnérabilité critique a été appelée «Zerologon», et il est très important que vous corrigiez votre Windows si vous ne voulez pas avoir un problème de sécurité sérieux.
Alerte de sécurité de Microsoft sur Zerologon
Auparavant, nous avons expliqué que les premières informations datent d'août, mais jusqu'à fin septembre, le premières attaques utilisant Zerologon n’ont pas eu lieu. Jeudi 24 septembre, Microsoft sur son compte Twitter officiel a commencé à alerter sur le problème. Cela a indiqué que les attaquants avaient utilisé la vulnérabilité Zerologon.
En outre, la société a déclaré qu'il existe déjà des exploits publics que les attaquants ont incorporés dans leur arsenal d'attaques sur les serveurs Windows. Microsoft a recommandé aux clients d'appliquer immédiatement les mises à jour de sécurité pour CVE-2020-1472 .
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a renforcé le sentiment d'urgence avec sa propre alerter . Il a exhorté les administrateurs informatiques à appliquer immédiatement des correctifs à tous les contrôleurs de domaine. Cela indique qu'il s'agit d'un problème grave.
Quelle est la vulnérabilité Zerologon
Cette faille de sécurité affecte les utilisateurs de Windows Server. La société de cybersécurité Secura est celle qui lui a donné le nom de vulnérabilité Zerologon. S'il est utilisé par un cybercriminel, il pourrait obtenir des privilèges d'administrateur sur un domaine et avoir un contrôle total.
CVE-2020-1472 est une vulnérabilité d'élévation de privilèges qui existe dans MS-NRPC. Netlogon est un composant d'authentification de base de Microsoft Active Directory. En outre, Netlogon est un service fourni par les contrôleurs de domaine pour fournir un canal sécurisé entre un ordinateur et le contrôleur de domaine. La vulnérabilité Zerologon a reçu une cote CVSS de 10. Notez que cette cote est la cote de gravité la plus élevée possible pour un bogue logiciel, ce qui indique sa gravité.
Raison pour laquelle il s'agit d'une faille de sécurité critique
Microsoft a commenté que cette faille de sécurité Netlogon permet à un attaquant non authentifié d'utiliser MS-NRPC pour se connecter à un contrôleur de domaine et obtenir un accès administrateur complet.
La vulnérabilité Zerologon permet à quiconque d'autoriser et d'utiliser ce canal très facilement, même à partir d'une machine hors domaine.
Que peut-il se passer si nous n'appliquons pas le patch tout de suite
En ne corrigeant pas la vulnérabilité Zerologon, nous laissons nos actifs les plus critiques sans protection contre une menace réelle. De plus, nous pouvons affirmer qu'il ne s'agit pas d'une erreur théorique puisque les attaquants peuvent l'utiliser activement contre des entreprises. En ce sens, comme nous l'avons mentionné précédemment, il faut se rappeler que cette faille de sécurité a atteint le score le plus élevé, et qu'il existe des exploits publics pour en profiter.
Le patch d'août de Microsoft n'est pas la solution définitive
Microsoft, pour corriger la vulnérabilité Zerologon, va publier deux correctifs. Le premier, lancé en août et désormais disponible, nous protège contre l'exploitation de la vulnérabilité. Le deuxième patch est prévu pour février 2021 dans le but de renforcer les connexions sécurisées via un appel de procédure à distance (RPC) avec Netlogon.
À l'heure actuelle, le correctif publié par Microsoft active des fonctionnalités de sécurité qui empêchent les vulnérabilités Zerologon de fonctionner. Cependant, cela ne résout pas les problèmes de service sous-jacents qui seront définitivement résolus avec le deuxième correctif.
Ce que les entreprises peuvent faire pour se protéger
La première chose à faire est d'installer le correctif de la vulnérabilité Zerologon. À l'heure actuelle, le seul moyen d'être entièrement protégé contre cette faille de sécurité consiste à identifier les contrôleurs de domaine accessibles sur Internet, à leur appliquer des correctifs et à suivre les conseils de Microsoft sur la façon d'appliquer des connexions RPC sécurisées.
