jeudi 17 septembre 2020
Vérifiez vos mises à jour et recherchez des traces de compromission
Le 11 août 2020, Microsoft a publié un avis de sécurité concernant la correction d’une vulnérabilité affectant le protocole Netlogon Remote Protocol.
Le CERT-FR a émis un avis le 12 août 2020 ainsi que des bulletins informant de la situation. Cette vulnérabilité, jugée critique (score CVSS3 de 10 sur 10), concerne les différentes versions de Microsoft Windows Server où le rôle ADDS (Active Directory Domain Services) est installé et où le serveur joue le rôle de contrôleur de domaine. Cette vulnérabilité peut aisément être exploitée par un acteur mal intentionné ayant un accès aux ports TCP ouverts par le service Netlogon.
L’exploitation de cette vulnérabilité peut entraîner une élévation de privilèges sur les contrôleurs de domaine ayant pour conséquence l’accès à l’ensemble des ressources gérées par les domaines Active Directory. La mise à jour de cette vulnérabilité doit être complétée par plusieurs modifications du système détaillées dans un article publié par Microsoft [1].
Des codes d’exploitation ont été publiés récemment sur Internet. Si vous n’avez pas déployé les correctifs mis à disposition par l’éditeur le 11 août 2020, il est nécessaire de les appliquer sans délai et d’effectuer des contrôles du système d’information afin de détecter une éventuelle compromission, notamment en investiguant vos journaux systèmes et réseaux afin d’identifier les éventuelles connexions illégitimes et les possibles latéralisation par un ou plusieurs attaquants sur votre infrastructure.
…/…
Systèmes affectés :
La vulnérabilité CVE-2020-1472 du protocole Netlogon, alias Zerologon, permet aux cybercriminels de pirater les contrôleurs de domaine.
Sur le fond, CVE-2020-1472 est une faille dans le processus d’authentification cryptographique Netlogon Remote Protocol. Le protocole identifie les utilisateurs et les machines des réseaux du domaine et est utilisé pour mettre à jour les mots de passe des ordinateurs à distance. En exploitant cette vulnérabilité, un cybercriminel peut se faire passer pour l’ordinateur d’un client, modifier le mot de passe d’un contrôleur de domaine (un serveur qui contrôle la totalité du réseau et exécute les services Active Directory) et obtenir les droits d’administrateur du domaine.
…/…
Microsoft a publié début août les patchs qui corrigent cette vulnérabilité dans tous les systèmes affectés. Si vous n’avez pas mis votre système à jour alors il est temps de le faire. De plus, l’entreprise vous conseille de surveiller toute tentative de connexion faite via la version vulnérable et d’identifier les dispositifs qui ne sont pas compatibles avec la nouvelle version. Dans l’idéal, et selon Microsoft, le contrôleur de domaine devrait être configuré de façon que tous les dispositifs utilisent la version sécurisée de Netlogon.
Les mises à jour imposent cette restriction puisque Windows n’est pas le seul à utiliser le Netlogon Remote Protocol. De nombreux dispositifs basés sur d’autres systèmes d’exploitation dépendent aussi de ce protocole. Si vous rendez son utilisation obligatoire, les dispositifs non compatibles avec la version sécurisée ne vont pas fonctionner correctement.
…/…
Source :
Visits: 7
Vérifiez vos mises à jour et recherchez des traces de compromission
Le 11 août 2020, Microsoft a publié un avis de sécurité concernant la correction d’une vulnérabilité affectant le protocole Netlogon Remote Protocol.
Le CERT-FR a émis un avis le 12 août 2020 ainsi que des bulletins informant de la situation. Cette vulnérabilité, jugée critique (score CVSS3 de 10 sur 10), concerne les différentes versions de Microsoft Windows Server où le rôle ADDS (Active Directory Domain Services) est installé et où le serveur joue le rôle de contrôleur de domaine. Cette vulnérabilité peut aisément être exploitée par un acteur mal intentionné ayant un accès aux ports TCP ouverts par le service Netlogon.
L’exploitation de cette vulnérabilité peut entraîner une élévation de privilèges sur les contrôleurs de domaine ayant pour conséquence l’accès à l’ensemble des ressources gérées par les domaines Active Directory. La mise à jour de cette vulnérabilité doit être complétée par plusieurs modifications du système détaillées dans un article publié par Microsoft [1].
Des codes d’exploitation ont été publiés récemment sur Internet. Si vous n’avez pas déployé les correctifs mis à disposition par l’éditeur le 11 août 2020, il est nécessaire de les appliquer sans délai et d’effectuer des contrôles du système d’information afin de détecter une éventuelle compromission, notamment en investiguant vos journaux systèmes et réseaux afin d’identifier les éventuelles connexions illégitimes et les possibles latéralisation par un ou plusieurs attaquants sur votre infrastructure.
…/…
Systèmes affectés :
La vulnérabilité CVE-2020-1472 du protocole Netlogon, alias Zerologon, permet aux cybercriminels de pirater les contrôleurs de domaine.
Sur le fond, CVE-2020-1472 est une faille dans le processus d’authentification cryptographique Netlogon Remote Protocol. Le protocole identifie les utilisateurs et les machines des réseaux du domaine et est utilisé pour mettre à jour les mots de passe des ordinateurs à distance. En exploitant cette vulnérabilité, un cybercriminel peut se faire passer pour l’ordinateur d’un client, modifier le mot de passe d’un contrôleur de domaine (un serveur qui contrôle la totalité du réseau et exécute les services Active Directory) et obtenir les droits d’administrateur du domaine.
…/…
Microsoft a publié début août les patchs qui corrigent cette vulnérabilité dans tous les systèmes affectés. Si vous n’avez pas mis votre système à jour alors il est temps de le faire. De plus, l’entreprise vous conseille de surveiller toute tentative de connexion faite via la version vulnérable et d’identifier les dispositifs qui ne sont pas compatibles avec la nouvelle version. Dans l’idéal, et selon Microsoft, le contrôleur de domaine devrait être configuré de façon que tous les dispositifs utilisent la version sécurisée de Netlogon.
Les mises à jour imposent cette restriction puisque Windows n’est pas le seul à utiliser le Netlogon Remote Protocol. De nombreux dispositifs basés sur d’autres systèmes d’exploitation dépendent aussi de ce protocole. Si vous rendez son utilisation obligatoire, les dispositifs non compatibles avec la version sécurisée ne vont pas fonctionner correctement.
…/…
Source :
Visits: 7
Vérifiez vos mises à jour et recherchez des traces de compromission
Le 11 août 2020, Microsoft a publié un avis de sécurité concernant la correction d’une vulnérabilité affectant le protocole Netlogon Remote Protocol.
Le CERT-FR a émis un avis le 12 août 2020 ainsi que des bulletins informant de la situation. Cette vulnérabilité, jugée critique (score CVSS3 de 10 sur 10), concerne les différentes versions de Microsoft Windows Server où le rôle ADDS (Active Directory Domain Services) est installé et où le serveur joue le rôle de contrôleur de domaine. Cette vulnérabilité peut aisément être exploitée par un acteur mal intentionné ayant un accès aux ports TCP ouverts par le service Netlogon.
L’exploitation de cette vulnérabilité peut entraîner une élévation de privilèges sur les contrôleurs de domaine ayant pour conséquence l’accès à l’ensemble des ressources gérées par les domaines Active Directory. La mise à jour de cette vulnérabilité doit être complétée par plusieurs modifications du système détaillées dans un article publié par Microsoft [1].
Des codes d’exploitation ont été publiés récemment sur Internet. Si vous n’avez pas déployé les correctifs mis à disposition par l’éditeur le 11 août 2020, il est nécessaire de les appliquer sans délai et d’effectuer des contrôles du système d’information afin de détecter une éventuelle compromission, notamment en investiguant vos journaux systèmes et réseaux afin d’identifier les éventuelles connexions illégitimes et les possibles latéralisation par un ou plusieurs attaquants sur votre infrastructure.
…/…
Systèmes affectés :
La vulnérabilité CVE-2020-1472 du protocole Netlogon, alias Zerologon, permet aux cybercriminels de pirater les contrôleurs de domaine.
Sur le fond, CVE-2020-1472 est une faille dans le processus d’authentification cryptographique Netlogon Remote Protocol. Le protocole identifie les utilisateurs et les machines des réseaux du domaine et est utilisé pour mettre à jour les mots de passe des ordinateurs à distance. En exploitant cette vulnérabilité, un cybercriminel peut se faire passer pour l’ordinateur d’un client, modifier le mot de passe d’un contrôleur de domaine (un serveur qui contrôle la totalité du réseau et exécute les services Active Directory) et obtenir les droits d’administrateur du domaine.
…/…
Microsoft a publié début août les patchs qui corrigent cette vulnérabilité dans tous les systèmes affectés. Si vous n’avez pas mis votre système à jour alors il est temps de le faire. De plus, l’entreprise vous conseille de surveiller toute tentative de connexion faite via la version vulnérable et d’identifier les dispositifs qui ne sont pas compatibles avec la nouvelle version. Dans l’idéal, et selon Microsoft, le contrôleur de domaine devrait être configuré de façon que tous les dispositifs utilisent la version sécurisée de Netlogon.
Les mises à jour imposent cette restriction puisque Windows n’est pas le seul à utiliser le Netlogon Remote Protocol. De nombreux dispositifs basés sur d’autres systèmes d’exploitation dépendent aussi de ce protocole. Si vous rendez son utilisation obligatoire, les dispositifs non compatibles avec la version sécurisée ne vont pas fonctionner correctement.
…/…
Source :
Visits: 7