Le Blog Dédier au Nouvelle Technologies

Patchée par Microsoft en août 2020, la vulnérabilité CVE-2020-1472 surnommée Zerologon permet à un pirate de prendre le contrôle d’un domaine Windows via le protocole Netlogon. Une preuve de concept de cet exploit publié sur GitHub permet de se rendre compte de sa très grande dangerosité et de la nécessité absolue d’appliquer le correctif.

Passée dans le flux des 120 failles corrigées par Microsoft en août dernier à l’occasion de son patch tuesday, la CVE-2020-1472 (aka Zerologon) affectant le protocole Netlogon Remote Protocol a été identifiée comme critique et nécessite une vigilance absolue de la part des entreprises. Son score de 10 – le maximum sur l’échelle du Common Vulnerability Scoring System – s’avère malheureusement amplement mérité. « Cette attaque a un impact énorme », a indiqué Secura dans un livre blanc publié en fin de semaine dernière. Et le CERT-FR de préciser de son côté : « Cette vulnérabilité concerne les différentes versions de Microsoft Windows Server où le rôle Active Directory Domain Services est installé et où le serveur joue le rôle de contrôleur de domaine. Cette vulnérabilité peut aisément être exploitée par un acteur mal intentionné ayant un accès aux ports TCP ouverts par le service Netlogon ».

Ce n’est pas la première fois que le protocole Netlogon est l’objet de vulnérabilités. Tom Tervoort, spécialiste en sécurité de Secura, en avait déjà découvert une, moins grave cependant, qui permettait de prendre le contrôle des postes de travail mais uniquement via un vecteur d’attaque de type man-in-the-middle pour que cela fonctionne. La CVE-2020-1472 est toutefois beaucoup plus grave : « en forgeant un jeton d’authentification pour une fonctionnalité Netlogon spécifique, un attaquant peut appeler une fonction pour définir le mot de passe de l’ordinateur du contrôleur de domaine sur une valeur connue. Après cela, l’attaquant peut utiliser ce nouveau mot de passe pour prendre le contrôle du contrôleur de domaine et voler les informations d’identification d’un administrateur de domaine », prévient Secura.

Un outil de test en Python utilisant la bibliothèque Impacket

Afin de permettre aux entreprises de savoir si elles sont vulnérables à Zerologon, des codes d’exploitation ont été publiés, disponibles sur Github. Cet outil de test, basé sur un script Python utilisant la bibliothèque Impacket, est conçu pour exécuter le contournement d’authentification Netlogon. « Le script se terminera immédiatement lors de l’exécution réussie du contournement et n’effectuera aucune opération Netlogon. Lorsqu’un contrôleur de domaine est corrigé, le script de détection abandonne après l’envoi de 2000 paires d’appels RPC et conclut que la cible n’est pas vulnérable avec une chance de faux négatifs de 0,04% », précise Secura.

source:lemondeinformatique.fr

0Shares

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *