Détection de l’attaque Zerologon (CVE-2020-1472)
Table des matières :
Après un mois de juillet très chaud, particulièrement fructueux pour les vulnérabilités critiques (1, 2, 3), le Patch Tuesday d’août de Microsoft est resté relativement calme. Oui, une fois de plus plus d’une centaine de vulnérabilités ont été corrigées, oui, 17 failles ont été classées comme critiques, et Microsoft n’a pas signalé de bugs du niveau « Nous sommes tous condamnés ». Bien que les chercheurs en sécurité aient alors attiré l’attention sur l’attaque Zerologon, la faille critique d’élévation de privilèges (CVE-2020-1472) qui permet aux attaquants d’utiliser abusivement le protocole Netlogon Remote et d’obtenir un accès administrateur à un contrôleur de domaine.
Vulnérabilité Zerologon
Fondamentalement, le CVE-2020-1472 (score CVSS : 10.0) découvert a permis aux fraudeurs de prendre le contrôle du compte Administrateur de Domaine capturé. La vulnérabilité a reçu le score de gravité le plus élevé par le système de notation de vulnérabilité commune car il existe des exploits POC exploitables et l’on s’attend à des activités malveillantes liées à l’exploitation du CVE-2020-1472 avec un haut degré de probabilité.
La vulnérabilité CVE-2020-1472 est directement liée à l’algorithme cryptographique utilisé dans le protocole Netlogon Remote. La vulnérabilité a reçu son nom en raison de la spécificité de l’exploitation lorsque la variable de départ, ou vecteur d’initialisation, était définie sur des zéros au lieu de nombres aléatoires.
Détails techniques sur l’attaque Zerologon
Aujourd’hui, la société de sécurité Secura a publié les détails techniques derrière la faille critique Zerologon, et les preuves de la facilité d’exploitation de la vulnérabilité CVE-2020-1472 ont déjà commencé à affluer. Zerologon permet à un hacker de prendre le contrôle du contrôleur de domaine victime. Pour établir une session TCP avec un contrôleur de domaine, les hackers sont généralement à l’intérieur du réseau ayant un accès physique à l’équipement, ou ont un point d’appui depuis l’extérieur du réseau. Premièrement, les fraudeurs doivent usurper les identifiants d’un ordinateur sur les réseaux de l’entreprise, ce qui est possible en moins de 256 tentatives à cause du mauvais vecteur d’initialisation du protocole Netlogon Remote. Ensuite, les hackers désactiveraient le mécanisme de transport de chiffrement au sein du MS-NRPC pour dégager la voie pour leurs actions futures – changer le mot de passe du compte qui a été initialement utilisé pour entrer dans le système afin que l’ordinateur ne puisse pas se connecter.
Mise à jour de sécurité et atténuation de la CVE-2020-1472
Microsoft prévoit de résoudre le problème de sécurité en deux phases, modifiant radicalement la connexion des appareils au sein des réseaux d’entreprise.
La première, la phase de Déploiement Initial, a commencé le 11 août 2020. Elle durera jusqu’au premier trimestre 2021 et pendant cette période, des mises à jour seront publiées. Pour avertir les administrateurs des connexions Netlogon vulnérables associées à la CVE-2020-1472, Microsoft a ajouté de nouveaux EventIDs, ainsi que des mises à jour pour les versions affectées de Windows Server. Parmi eux, l’EventID 5829 a été ajouté pour informer des connexions Netlogon vulnérables.
Lors de la deuxième phase – la phase d’exécution – qui est prévue pour commencer le 9 février 2021, une fois les mises à jour installées, les contrôleurs de domaine refuseront les connexions vulnérables des appareils utilisant des connexions de canal sécurisé Netlogon vulnérables, sauf si autorisées par la stratégie de groupe.
Détails techniques et détection de l’attaque Zerologon
Désormais, les cybercriminels qui ont compromis un système sur le réseau d’une organisation peuvent presque instantanément accéder à un contrôleur de domaine. Les botnets tels que Emotet or TrickBot, qui fournissent l’accès aux systèmes infectés à d’autres groupes, deviendront encore plus dangereux, et le temps que les gangs de ransomware passent entre le moment où ils infiltrent le réseau et celui où ils commencent à chiffrer les fichiers sera considérablement réduit.
Installez la mise à jour de sécurité dès que possible si vous ne l’avez pas encore fait. Nous vous recommandons également de télécharger et de déployer les règles communautaires d’Adam Swan, notre ingénieur principal en recherche de menaces, pour détecter les attaques Zerologon : https://tdm.socprime.com/tdm/info/FgNYLnTxIVrs/7WbXfnQBSh4W_EKGaxL5/
La règle a des traductions pour les plateformes suivantes :
SIEM : Azure Sentinel, ELK Stack, RSA NetWitness, Splunk, LogPoint, Humio
NTA : Corelight
MITRE ATT&CK:
Tactiques : Mouvement Latéral
Techniques : Exploitation de Services à Distance (T1210)
De nouvelles règles pour la détection des attaques Zerologon (vulnérabilité CVE-2020-1472) sont publiées sur le SOC Prime Threat Detection Marketplace.
Connexion de Canal Sécurisé Netlogon Vulnérable Autorisée par NVISO https://tdm.socprime.com/tdm/info/S4U7tNVmkwFr/Jp2DknQBPeJ4_8xcsU3h/?p=1
Utilisateur Anonyme a Changé le Mot de Passe de la Machine par Adam Swan, Équipe SOC Prime https://tdm.socprime.com/tdm/info/EPl2OKBmxbJ6/fHN5k3QBSh4W_EKG8VJB/?p=1#
Prêt à essayer le SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le Programme de Prime de Menaces pour créer votre propre contenu et le partager avec la communauté TDM.
