Contactez-nous au 04 28 29 74 17

Retour aux articles

ZeroLogon : Popularisation de la vulnérabilité

12 octobre 2020 - par Modérateur

Qu’est-ce que la vulnérabilité ZeroLogon ?

La vulnérabilité ZeroLogon a été découverte par Tom Tervoort en septembre 2020. Cette vulnérabilité permet à un attaquant ayant accès à un réseau d’entreprise de devenir administrateur de domaine de manière triviale et avec seul prérequis d’être connecté au même réseau que le contrôleur de domaine.

ZeroLogon se repose sur une faiblesse du protocole Netlogon de Microsoft. Cette vulnérabilité a été notée 10 sur 10 (CVSS 3.1) par le Common Vulnerability Scoring System (CVSS), ce qui traduit une vulnérabilité très dangereuse. Par conséquent, il est impératif de déployer les correctifs publiés par Microsoft au plus vite.

La vulnérabilité vient d’une erreur d’implémentation cryptographique dans le protocole Netlogon, un whitepaper avec plus de détails techniques a été publié par l’entreprise Secura.

Plusieurs PoC (Proof-Of-Concept) fonctionnels sont disponibles publiquement sur internet, ce qui facilite grandement l’exploitation de cette vulnérabilité. Ainsi, l’exploit de la vulnérabilité commence à être incorporé massivement dans les campagnes d’attaque connues.

Dans les récents rapports d’incidents de sécurité provenant de multiples sources, il apparait que cette vulnérabilité est largement utilisée par les attaquants. Cela renforce le caractère urgent de la mise en place d’un correctif de sécurité pour cette vulnérabilité.

Malheureusement le correctif publié par Microsoft en Août 2020 ne résout qu’a moitié le problème causé par cette vulnérabilité, un patch définitif est prévu pour Février 2021.

CYLRESC recommande aux entreprises profitant des services d’Active Directory de mettre en place les mesures suivantes :