Le 11 août 2020, Microsoft a publié un correctif de sécurité contre l’élévation de privilège de Netlogon, référence CVE-2020-1472 et CERT-FR CERTFR-2020-AVI-501.
Le bogue de sécurité fut découvert par Tom Tervoort de Secura, qui le nomma Zerologon. Il consiste en une utilisation non conforme de AES-CFB8 par le protocole Windows Netlogon Remote Protocol (MS-NRPC), un composant clé d’authentification d’Active Directory.
Pour les intéressés, Secura fournit une description détaillée de la faille de sécurité.
En résumé, une personne malveillante ayant un accès au réseau local d’une cible, peut exploiter cette vulnérabilité afin de se faire passer pour un client authentifié d’un domaine, voire d’un contrôleur de domaine, pour effectuer de nombreuses actions malveillantes, y compris le changement de mot de passe d’un ordinateur de l’Active Directory, et potentiellement obtenir les privilèges d’administrateur de domaine.
Le compte d’administrateur de domaine est le compte le plus privilégié d’un domaine Active Directory. Une personne malveillante peut donc causer des dommages terribles à une entreprise ou une organisation en exploitant cette faille.
C’est pourquoi elle est l’une des rares à obtenir le score maximum de classification de la sévérité : critique, CVSS3 de 10 sur 10.
Or, des codes d’exploitation de cette faille ont été publiés récemment sur la toile.
L’ANSSI lance donc l’alerte CERTFR-2020-ALE-020.
Et le US Cybersecurity and Infrastructure Security Agency (CISA) a émis vendredi une directive d’urgence, ce qui est rarissime.
La directive 20-04 oblige les agences fédérales à mettre à jour tous leurs serveurs Windows avec le rôle de contrôleur de domaine avant lundi 21 septembre, 23 heures 59, heure de New York.
Elles doivent aussi s’assurer que tous les contrôles techniques et de gestion sont en place pour s’assurer que tous les contrôleurs de domaines nouvellement provisionnés ou précédemment disconnectés, sont mis à jour avant d’être connectés à des réseaux d’agences.
Enfin, elles doivent envoyer un rapport d’achèvement de la directive à la CISA.
Il ne reste plus qu’à espérer que des directives similaires ont été prises en France et en Europe.