Bulletins

Une nouvelle faille Windows permet la reprise du domaine

bs1.jpg

Le système d’exploitation Windows a toujours été la cible préférée des pirates informatiques grâce à ses parts de marché énormes et son exposition à un grand nombre de vulnérabilités.

Dernièrement, une faille a été détectée par des chercheurs au niveau des serveurs Windows permettant à un pirate d’avoir accès aux réseaux internes et de devenir administrateur de domaine.

Cette faille a été identifiée et référencée CVE-2020-1472, et peut permettre à un attaquant d’avoir les privilèges de l’administrateur de domaine à travers une nouvelle attaque baptisée Zerologon.

  • L'attaque Zerologon est basée sur l'exploitation de la vulnérabilité d'escalade de privilèges, CVE-2020-1472, qui réside dans Netlogon.
  • Le mécanisme d'authentification Netlogon est principalement utilisé pour vérifier les demandes de connexion dans l'architecture d'authentification client Windows.
  • Pour exploiter cette vulnérabilité, l'attaquant doit se connecter à un contrôleur de domaine via une connexion de canal sécurisé Netlogon à l'aide du protocole Netlogon Remote Protocol (MS-NRPC).
  • Une fois connecté, l'attaquant peut obtenir un accès administrateur de domaine et l'utiliser pour mener des activités malveillantes.

Microsoft avait fourni un correctif temporaire dans le Patch Tuesday d’Aout 2020, et un correctif complet est attendu d’ici février 2021.

En plus de ces mises à jour, il est recommandé aux utilisateurs d’appliquer les correctifs pour l’ensemble des applications déployées, du micrologiciel ainsi que le système d’exploitation Windows afin de se maintenir protégé.