Vulnérabilité MICROSOFT CVE-2020-1472 « ZEROLOGON »

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine: bjCSIRT

Numéro: 2020/ALERTE/015

Date de l’alerte: 21/09/2020

TLP: White

 

Aperçu de la menace 

Libellée CVE-2020-1472, « Zerologon » est une vulnérabilité d’élévation de privilèges affectant le protocole Netlogon qui est un mécanisme d’authentification intervenant des contrôleurs de domaine (DC) d’un Active Directory. Cette vulnérabilité, présente également dans le logiciel d’interopérabilité Samba qui implémente le protocole propriétaire SMB/CIFS de Microsoft Windows dans les ordinateurs sous le système d’exploitation Unix et ses dérivés, a reçu la note la plus élevée du « Common Vulnerability Scoring System » (CVSS), soit 10.0 et est classée critique par Microsoft.

Description

Le service Netlogon est un mécanisme d’authentification utilisé dans l’architecture d’authentification des clients Windows qui vérifie les demandes de connexion, enregistre, authentifie et localise les contrôleurs de domaine. La faille ZEROLOGON est une vulnérabilité d’élévation de privilèges due à l’utilisation non sécurisée du cryptage AES-CFB8 pour les sessions Netlogon. La norme AES-CFB8 exige que chaque octet de texte en clair, comme un mot de passe, ait un vecteur d’initialisation aléatoire (IV) afin que les mots de passe ne puissent pas être devinés. La fonction « ComputeNetlogonCredential » de Netlogon fixe le IV à 16 bits, ce qui faciliterait la tâche à un attaquant de contrôler le texte déchiffré. Cette faille permet à toute personne connectée à un réseau utilisant le protocole Netlogon d’élever ses privilèges à ceux de l’administrateur du domaine. Un attaquant pourrait exploiter cette vulnérabilité afin d’usurper l’identité de n’importe quelle machine d’un réseau lorsqu’elle tenterait de s’authentifier auprès du contrôleur de domaine (DC). D’autres attaques pourraient alors être possibles, y compris la prise de contrôle total d’un domaine Active Directory, la suppression des mots de passe des comptes qui s’authentifient sur le contrôleur de domaine, l’exfiltration de données, la perturbation du réseau, le déni de service, etc.

Impacts

  • Accès aux privilèges de l’administrateur de l’Active Directory ;
  • Compromission totale de l’Active Directory ;
  • Suppression des mots de passe des comptes qui s’authentifient sur les contrôleurs de domaine ;
  • Exfiltration des données de l’active Directory ;
  • Indisponibilité de l’Active Directory ;

Etc.

Systèmes affectés

  • Toutes les versions du système d’exploitation MICROSOFT SERVER servant de contrôleur de domaine (DC) ;
  • Les contrôleurs de domaine SAMBA ;

 

Mesures à prendre

  • Microsoft Server : Appliquer les dernières mises à jour de sécurité du système d’exploitation ;
  • Contrôleurs de domaine SAMBA : Appliquer les dernières mises à jour de sécurité et utiliser l’option : « server schannel = yes » dans le fichier de configuration smb.conf ;

 

Références

  • https://fr.tenable.com/blog/cve-2020-1472-zerologon-vulnerability-in-netlogon-could-allow-attackers-to-hijack-windows
  • https://access.redhat.com/discussions/5398921
  • https://www.secura.com/pathtoimg.php?id=2055
  • https://unit42.paloaltonetworks.com/zerologon/
  • https://www.suse.com/support/kb/doc/?id=000019713
Partagez sur vos réseaux.