Microsoft s’attaque à un grave exploit de réseau

Une société de sécurité néerlandaise a rapporté la semaine dernière qu’elle avait découvert le mois dernier une grave vulnérabilité de Windows qui permettait aux pirates de prendre en charge les privilèges d’administrateur réseau en un seul clic.

La société de sécurité, Secura, a déclaré que Microsoft avait été informé du problème et avait publié le premier des deux correctifs en août. Le deuxième patch, une solution plus complète, est prévu pour février 2021.

«L’attaque a un impact énorme», a déclaré l’expert en sécurité de Secura, Tom Tervoort, dans le livre blanc de l’entreprise. « Il permet essentiellement à tout attaquant sur le réseau local (comme un initié malveillant ou quelqu’un qui a simplement branché un appareil sur un port réseau sur site) de compromettre complètement le domaine Windows. »

Les experts considèrent la vulnérabilité, appelée Zerologon, comme l’une des plus graves jamais atteintes par Microsoft. Un score de 10/10 lui a été attribué, le plus haut degré de gravité dans le cadre du Common Vulnerability Scoring System.

Tervoort a déclaré que l’exploit tire parti d’un algorithme cryptographique défectueux utilisé lors du processus d’authentification Windows Server Netlogon. Ce faisant, l’attaquant peut se faire passer pour le propriétaire de n’importe quel ordinateur sur un réseau lors de l’authentification, désactiver les fonctions de sécurité et modifier ou supprimer les mots de passe.

Les experts disent que ce serait une approche que les attaquants insérant des ransomwares et autres logiciels malveillants favoriseraient. Il permet d’accéder facilement à un nombre illimité d’ordinateurs affiliés sur un réseau. Tout ce qu’il faut, c’est qu’un seul employé clique sur une pièce jointe ou un lien hostile pour qu’un réseau entier soit compromis.

Tervoort a déclaré que toute l’attaque ne prend pas plus de trois secondes pour s’exécuter.

Les chercheurs de Secura ont attendu de publier une copie de l’exploit pour que les administrateurs informatiques l’étudient jusqu’à la publication à grande échelle du correctif de Microsoft.

«Les clients qui appliquent la mise à jour ou qui ont activé les mises à jour automatiques seront protégés», a déclaré Microsoft. Les mises à jour fonctionnent «en modifiant la façon dont Netlogon gère l’utilisation des canaux sécurisés Netlogon».

Les administrateurs informatiques sont avertis que les pirates pourraient éventuellement examiner le premier correctif Microsoft et travailler à rebours pour concevoir une autre ligne d’attaque.

Avec le correctif 2021, Microsoft exigera des protocoles de connexion révisés et la mise à jour de tous les équipements connectés aux réseaux. L’équipement qui n’est pas mis à jour avec les protocoles les plus sécurisés doit être ajouté à la liste blanche.

Secura a publié un script python qui peut alerter les administrateurs informatiques de toute violation de Zerologon.

Le nom de Zerologon provient de l’utilisation d’une chaîne de zéros pour remplir divers champs lors d’une connexion Netlogon.

« En envoyant simplement un certain nombre de messages Netlogon dans lesquels divers champs sont remplis de zéros, un attaquant peut changer le mot de passe de l’ordinateur du contrôleur de domaine qui est stocké dans l’AD. Cela peut ensuite être utilisé pour obtenir les informations d’identification de l’administrateur du domaine, puis restaurer le mot de passe DC original », ont déclaré les chercheurs de Secura.

Une petite consolation pour les administrateurs informatiques est qu’un hacker doit déjà être sur le réseau pour lancer une attaque. Zerologon ne peut pas être exécuté depuis l’extérieur du réseau.

© 2020 Réseau Science X