Zerologon : une menace pour les réseaux d’entreprise

Spread the love
Zerologon : une menace pour les réseaux d'entreprise

En toute discrétion, Microsoft a corrigé le mois dernier l’un des bugs les plus graves jamais signalés à l’entreprise. Ce bug peut être exploité pour prendre facilement le contrôle des serveurs Windows fonctionnant comme contrôleurs de domaine dans les réseaux d’entreprise.

Le CERT-FR alerte également sur la gravité de cette faille et publie un bulletin concernant cette vulnérabilité. Le CERT renvoie à la documentation existante et incite les administrateurs à déployer les correctifs ; “Si vous n’avez pas déployé les correctifs mis à disposition par l’éditeur le 11 août 2020, il est nécessaire de les appliquer sans délai et d’effectuer des contrôles du système d’information afin de détecter une éventuelle compromission”

publicité

Le bug a été corrigé dans le patch d’août 2020 mardi sous l’identifiant CVE-2020-1472. Il a été décrit comme une élévation de privilège dans Netlogon, le protocole qui authentifie les utilisateurs par rapport aux contrôleurs de domaine.

La vulnérabilité a reçu la note de gravité maximale de 10, mais les détails n’ont jamais été rendus publics, ce qui signifie que les utilisateurs et les administrateurs n’ont jamais su à quel point le problème était dangereux.

Quelques zeros pour prendre le contrôle

Mais dans un billet de blog publié aujourd’hui, l’équipe de Secura B.V., une société de sécurité néerlandaise, a finalement levé le voile sur ce mystérieux bug et publié un rapport technique décrivant le CVE-2020-1472 de manière plus approfondie.

Selon le rapport, le bug est vraiment digne de son score de gravité de 10/10 CVSSv3.

Selon les experts de Secura, le bug, qu’ils ont nommé Zerologon, tire profit d’un algorithme cryptographique trop faible utilisé dans le processus d’authentification Netlogon.

Ce bug permet à un attaquant de manipuler les procédures d’authentification de Netlogon et :

  • d’usurper l’identité de tout ordinateur sur un réseau lorsqu’il tente de s’authentifier auprès du contrôleur de domaine
  • de désactiver les dispositifs de sécurité dans le processus d’authentification Netlogon
  • de modifier le mot de passe d’un ordinateur sur l’Active Directory du contrôleur de domaine (une base de données de tous les ordinateurs reliés à un domaine, et de leurs mots de passe)

    L’essentiel, et la raison pour laquelle le bug a été nommé Zerologon, est que l’attaque se réalise en ajoutant le caractère zero (0) dans certains paramètres d’authentification de Netlogon (voir le graphique ci-dessous).

    zerologon-attack.png

    Image : Secura

    Toute l’attaque se déroule très rapidement et peut durer jusqu’à trois secondes, tout au plus. En outre, il n’y a pas de limites à la manière dont un attaquant peut utiliser l’attaque Zerologon. Par exemple, l’attaquant peut aussi se faire passer pour le contrôleur de domaine lui-même et changer son mot de passe, ce qui lui permet de s’emparer de l’ensemble du réseau de l’entreprise.

Prendre le contrôle d’un réseau d’entreprise en trois secondes

Il y a néanmoins quelques limites à l’utilisation d’une attaque Zerologon. Pour commencer, elle ne peut pas être utilisée pour prendre le contrôle de serveurs Windows en dehors du réseau. Un attaquant a d’abord besoin de prendre pied à l’intérieur d’un réseau.

Cependant, lorsque cette condition est remplie, c’est littéralement la fin de la partie pour l’entreprise attaquée.

“Cette attaque a un impact énorme”, a déclaré l’équipe de Secura. “Elle permet à tout attaquant sur le réseau local (comme un employé malveillant ou quelqu’un qui a simplement branché un appareil à un port réseau sur place) de compromettre complètement le domaine Windows”.

En outre, ce bug est également une aubaine pour les groupes cybercriminels, qui s’appuient souvent sur l’infection d’un ordinateur au sein du réseau d’une entreprise, puis sur sa propagation à plusieurs autres. Avec Zerologon, cette tâche a été considérablement simplifiée.

Patches disponibles ; d’autres à venir

Mais la mise à jour de Zerologon n’a pas été un patch facile pour Microsoft : la société a dû modifier la façon dont des milliards d’appareils se connectent aux réseaux d’entreprise, perturbant ainsi les activités d’innombrables sociétés.

Le correctif est prévu en deux phases. La première a eu lieu le mois dernier, lorsque Microsoft a publié un correctif temporaire pour l’attaque Zerologon.

Ce patch temporaire a rendu les fonctions de sécurité de Netlogon (que Zerologon désactivait) obligatoires pour toutes les authentifications de Netlogon, bloquant ainsi les attaques de Zerologon.

Néanmoins, un patch plus complet est prévu pour février 2021, juste au cas où les attaquants trouveraient un moyen de contourner les mesures de protection mises en place au mois d’août. Malheureusement, Microsoft prévoit que ce dernier correctif finira par poser des problemes pour l’authentification sur certains appareils. Les détails de ce deuxième correctif ne sont cependant pas encore publics.

Les attaquants utiliseront très probablement le bug Zerologon, principalement en raison de la gravité du bug, de son large impact et des avantages qu’il présente pour les attaquants.

Secura n’a pas publié de code de preuve de concept pour une attaque Zerologon, mais l’entreprise s’attend à ce que ces codes apparaissent après la diffusion de son rapport en ligne.

Selon le CERT-FR, des codes d’exploitation ont déjà été publiés en ligne, ce qui signifie que des attaquants peuvent facilement exploiter la faille en question dans des attaques malveillantes.

En attendant, Secura a publié un script Python, qui permet de savoir si les contrôleurs de domaines ont été correctement patchés.

Source : “ZDNet.com”

Leave a Reply