C’est en toute discrétion que Microsoft a corrigé en août « l'un des bugs les plus graves jamais signalés à l'entreprise », d’après ZDNet. Une gravité confirmée par le CVSSv3, qui attribue à cette vulnérabilité le score maximal de 10/10. Avec cette vulnérabilité CVE-2020-1472, désormais aussi appelée Zerologon, un attaquant peut modifier le mot de passe de n’importe quel compte Active Directory, y compris un compte administrateur du domaine, depuis un poste utilisateur.

 

En prenant possession du compte d’un administrateur du domaine, l’attaquant peut ensuite prendre le contrôle des serveurs Windows dans les réseaux d'entreprise. Cette vulnérabilité est d’autant plus dangereuse qu’il suffit de 256 tentatives en moyenne pour que l’attaque soit un succès – l’équivalent de moins de 3 secondes.

Le patch a été publié par Microsoft à l’occasion du Patch Tuesday du mois d’août, qui décrit le bug comme une élévation de privilège dans le protocole Netlogon.

 

Des détails sur la vulnérabilité CVE-2020-1472

L'exploit se base principalement sur l’utilisation de l'interface DCERPC RPC_NETLOGON_UUID (12345678-1234-abcd-ef00-01234567cffb) avec deux méthodes NetrServerReqChallenge (opnum 4) et NetrServerAuthenticate3 (opnum 26) où le champ Client Challenge et Client Credential sont respectivement définis à "0000000000000000".

Bien qu’à ce stade, l'attaquant ait déjà réussi à contourner l'authentification, il n'a toujours pas la clé de session – en raison du mécanisme de chiffrement de transport de Netlogon (Signing et Sealing). Afin de s’affranchir de cet obstacle, l'attaquant doit s’assurer de la désactivation de "Supports Secure RPC et AES & SHA2 encryption" via NetrServerAuthenticate3. Dans ce cas, l'attaquant pourra après plusieurs tentatives (256 en moyenne) récupérer la clé de session et être authentifié par l'AD.

Cette vulnérabilité a déjà fait l’objet d’un rapport technique détaillé par la société de sécurité néerlandaise Secura B.V., ainsi que d’un POC réalisé cette fois-ci par la société espagnole BlackArrow.

 

Gestion de la menace avec Stormshield Network Security

Blocage du RPC_NETLOGON_UUID dans le protocole DCERPC

Il est possible de bloquer via la configuration du protocole DCERPC l'utilisation de RPC_NETLOGON_UUID. Cependant, cela affectera l'ensemble des cas d'usage du protocole Netlogon de type réinitialisation des mots de passe ou sauvegarde de la base de données des utilisateurs de l'AD.

Cette solution est donc à envisager en ayant conscience des dysfonctionnements entrainés et de façon très temporaire uniquement, en attendant d’appliquer les correctifs officiels de Microsoft et la protection par signature décrite ci-dessous.

Détection de l’attaque par signature IPS

La signature de protection "DCERPC : Microsoft Remote Netlogon protocole vulnérabilité (CVE-2020-1472)" avec l'ID "dcerpc:request:data:9" a été déployée et mise à disposition de nos clients. Elle permet de protéger contre la cyberattaque Zerologon.

Elle est configurée par défaut en action « Passer » et doit donc être modifiée en « Bloquer » pour arrêter les tentatives d’attaques. Assurez-vous également que vos règles de filtrage autorisant les flux DCERPC activent bien l’analyse IPS pour bénéficier de cette protection.

 

Gestion de la menace avec Stormshield Endpoint Security

L’attaque étant basée sur un défaut d’implémentation du chiffrement des secrets dans les échanges réseaux entre le poste et le serveur, et aucun fichier ni aucune modification de la configuration du poste n’étant en jeu, la solution SES n’offre pas de protection contre les attaques exploitant cette vulnérabilité.

 

Recommandations de Stormshield

La recommandation principale à ce stade est d’appliquer le correctif fourni par Microsoft sur vos contrôleurs de domaine le plus rapidement possible. Retrouvez également la liste des versions vulnérables et comment patcher ces dernières.

La vulnérabilité étant relativement ancienne, il convient enfin de changer les mots de passe des administrateurs du domaine et de procéder à un audit des comptes de votre domaine (vérifier les modifications et créations de comptes).

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Notre équipe de Threat Intelligence remplit deux missions principales : étudier les menaces cyber pour les comprendre et améliorer en continu les protections des produits de Stormshield. Le tout, dans l’optique de contribuer à l’effort de la communauté de la cybersécurité pour faire face aux menaces cyber.
À propos de l'auteur
mm
Julien Paffumi Product Portfolio Manager, Stormshield

Julien Paffumi fait ses premières armes au sein de la R&D d'Arkoon, en tant qu’ingénieur Qualité. Il va ensuite former directement les administrateurs et acquiert une connaissance étendue de leurs besoins – expérience précieuse pour son rôle suivant de Product Manager des firewalls Arkoon Fast360, puis de la console d’administration centralisée Stormshield Management Center. En tant que Product Portfolio Manager, il a maintenant un rôle transverse qui lui permet de nourrir son éternelle curiosité avec une approche plus globale des solutions Stormshield.