La vulnérabilité Zerologon menace les contrôleurs de domaine

La vulnérabilité CVE-2020-1472 du protocole Netlogon, alias Zerologon, permet aux cybercriminels de pirater les contrôleurs de domaine.

Grâce au Patch Tuesday d’août Microsoft a corrigé plusieurs vulnérabilités dont CVE-2020-1472. La vulnérabilité du protocole Netlogon a reçu une note de gravité « critique » puisqu’elle a obtenu le score CVSS maximum, à savoir 10. Il ne fait aucun doute que cette menace était réelle. L’autre jour le chercheur Tom Tervoort de Secura (qui a découvert la vulnérabilité) a publié un rapport détaillé qui explique pourquoi la vulnérabilité, connue comme Zerologon, est si dangereuse et comment elle pouvait être exploitée pour pirater un contrôleur de domaine.

Qu’est-ce que Zerologon ?

Sur le fond, CVE-2020-1472 est une faille dans le processus d’authentification cryptographique Netlogon Remote Protocol. Le protocole identifie les utilisateurs et les machines des réseaux du domaine et est utilisé pour mettre à jour les mots de passe des ordinateurs à distance. En exploitant cette vulnérabilité, un cybercriminel peut se faire passer pour l’ordinateur d’un client, modifier le mot de passe d’un contrôleur de domaine (un serveur qui contrôle la totalité du réseau et exécute les services Active Directory) et obtenir les droits d’administrateur du domaine.

Qui est vulnérable ?

La faille CVE-2020-1472 menace les entreprises dont les réseaux utilisent les contrôleurs de domaine exécutés sous Windows. Les cybercriminels peuvent notamment pirater le contrôleur de domaine qui utilise n’importe quelle version de Windows Server 2019 ou Windows Server 2016, ainsi que toute édition de Windows Server version 1909, Windows Server version 1903, Windows Server version 1809 (éditions Datacenter et Standard), Windows Server 2012 R2, Windows Server 2012 ou Windows Server 2008 R2 Service Pack 1. Pour perpétrer l’attaque, les cybercriminels doivent d’abord pénétrer dans le réseau de l’entreprise mais cela n’est pas vraiment compliqué. Les attaques internes et les accès via les ports Ethernet dans les installations ouvertes au public n’ont rien de nouveau.

Heureusement, Zerologon n’a pas encore été utilisé lors d’une attaque dans le monde réel, ou du moins personne ne l’a signalé. Pourtant, le rapport de Tervoort a fait sensation et a très certainement attiré l’attention des cybercriminels. Même si les chercheurs n’ont pas publié une preuve de concept qui fonctionne, ils n’ont aucun doute que les escrocs peuvent en créer une à partir du patch.

Comment se protéger contre les attaques Zerologon

Microsoft a publié début août les patchs qui corrigent cette vulnérabilité dans tous les systèmes affectés. Si vous n’avez pas mis votre système à jour alors il est temps de le faire. De plus, l’entreprise vous conseille de surveiller toute tentative de connexion faite via la version vulnérable et d’identifier les dispositifs qui ne sont pas compatibles avec la nouvelle version. Dans l’idéal, et selon Microsoft, le contrôleur de domaine devrait être configuré de façon que tous les dispositifs utilisent la version sécurisée de Netlogon.

Les mises à jour imposent cette restriction puisque Windows n’est pas le seul à utiliser le Netlogon Remote Protocol. De nombreux dispositifs basés sur d’autres systèmes d’exploitation dépendent aussi de ce protocole. Si vous rendez son utilisation obligatoire, les dispositifs non compatibles avec la version sécurisée ne vont pas fonctionner correctement.

Néanmoins, à partir du 9 février 2021 les contrôleurs de domaine devront utiliser ce mode, obligeant tous les dispositifs à avoir la version sécurisée et mise à jour de Netlogon. Les administrateurs doivent donc résoudre en amont ce problème de compatibilité avec les dispositifs tiers, soit en les mettant à jour soit en les ajoutant manuellement comme exception. Consultez l’article de Microsoft pour obtenir plus d’informations sur le patch d’août, savoir ce qui va changer en février et avoir des instructions détaillées.

Conseils