Zerologon : Microsoft signale des attaques

Zerologon : Microsoft signale des attaques

Des pirates informatiques exploitent activement la vulnérabilité de Zerologon dans des attaques réelles, a déclaré ce matin l’équipe de renseignement sur la sécurité de Microsoft.

“Microsoft suit activement les activités d’acteurs malveillant utilisant des exploits pour la vulnérabilité EoP CVE-2020-1472 Netlogon, surnommée Zerologon. Nous avons observé des attaques où des exploits publics ont été incorporés dans les outils des attaquants”, a écrit la société dans une série de tweets.

publicité

Selon les experts de l’industrie de la sécurité, ces attaques étaient attendues.

Plusieurs versions de l’exploit de cette vulnérabilité ont été publiées en ligne sous une forme librement téléchargeable depuis que des détails sur la vulnérabilité de Zerologon ont été révélés le 14 septembre par la société de sécurité néerlandaise Secura BV.

Le premier exploit a été publié quelques heures après la publication du post, confirmant l’analyse de Secura selon laquelle le bug Zerologon est facile à exploiter, même par des acteurs peu qualifiés. Le CERT FR signalait la semaine dernière que des exploits étaient déjà publiquement disponibles, et a remis à jour son bulletin d’information sur Zerologon lundi pour y ajouter des informations d’aide à la détection.

Une explication plus approfondie du bug Zerologon est disponible dans notre couverture initiale de la vulnérabilité. Le bug Zerologon est une vulnérabilité de Netlogon, le protocole utilisé par les systèmes Windows pour s’authentifier sur un serveur Windows fonctionnant comme contrôleur de domaine. L’exploitation du bug Zerologon peut permettre à des pirates de prendre le contrôle du contrôleur de domaine et, par essence, du réseau interne d’une entreprise.

Zerologon a été décrit par beaucoup comme le plus dangereux des bugs révélés cette année. Au cours du week-end, le DHS a donné trois jours aux agences fédérales pour corriger le bug sur les contrôleurs de domaine ou les déconnecter des réseaux fédéraux.

Dans une alerte publiée lundi, la CISA a déclaré que le bug Zerologon affecte également le logiciel de partage de fichiers Samba, qui doit également être mis à jour. Le CERT-FR a également publié un bulletin d’information concernant l’impact de Zerologon sur Samba : l’utilisation de cette vulnérabilité permet ici une élévation de privilèges lorsque le serveur Samba est utilisé comme contrôleur de domaine.

Bien que Microsoft n’ait pas publié de détails sur les attaques, il a publié des hashs de fichiers pour les exploits utilisés dans les attaques.

Comme plusieurs experts en sécurité l’ont recommandé depuis que Microsoft a révélé ces attaques, les entreprises dont le contrôleur de domaine est exposé sur Internet devraient mettre leurs systèmes hors ligne pour les réparer.

Les serveurs accessibles par Internet sont particulièrement vulnérables, car les attaques peuvent être mises en oeuvre directement, sans que le pirate ait besoin de s’introduire dans les systèmes internes.

Source : “ZDNet.com”

Leave a Reply

Your email address will not be published. Required fields are marked *