Risque(s)

  • Élévation de privilèges

Systèmes affectés

  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server, version 1903 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)
  • Windows Server, version 2004 (Server Core installation)

Résumé

[Mise à jour du 21 septembre 2020]

Des informations d'aide à la détection sont consultables ci-dessous.

[version initiale]

Le 11 août 2020, Microsoft a publié un avis de sécurité concernant la correction d'une vulnérabilité affectant le protocole Netlogon Remote Protocol.

Le CERT-FR a émis un avis le 12 août 2020 ainsi que des bulletins informant de la situation. Cette vulnérabilité, jugée critique (score CVSS3 de 10 sur 10), concerne les différentes versions de Microsoft Windows Server où le rôle ADDS (Active Directory Domain Services) est installé et où le serveur joue le rôle de contrôleur de domaine. Cette vulnérabilité peut aisément être exploitée par un acteur mal intentionné ayant un accès aux ports TCP ouverts par le service Netlogon.

L'exploitation de cette vulnérabilité peut entraîner une élévation de privilèges sur les contrôleurs de domaine ayant pour conséquence l'accès à l'ensemble des ressources gérées par les domaines Active Directory. La mise à jour de cette vulnérabilité doit être complétée par plusieurs modifications du système détaillées dans un article publié par Microsoft [1].

Des codes d'exploitation ont été publiés récemment sur Internet. Si vous n'avez pas déployé les correctifs mis à disposition par l'éditeur le 11 août 2020, il est nécessaire de les appliquer sans délai et d'effectuer des contrôles du système d'information afin de détecter une éventuelle compromission, notamment en investiguant vos journaux systèmes et réseaux afin d’identifier les éventuelles connexions illégitimes et les possibles latéralisation par un ou plusieurs attaquants sur votre infrastructure.

Par ailleurs, le CERT-FR rappelle que les contrôleurs de domaines, en tant que systèmes névralgiques, ne doivent, en aucun cas, être accessibles directement depuis internet.

Pour rappel :


Informations d'aide à la détection

Il est possible, dans certaines conditions, de détecter une tentative d'exploitation qui aurait pu subvenir avant application du correctif de Microsoft, grâce aux journaux générés par Windows.

Pour cela, la politique d'audit "Gestion du compte > Auditer la gestion des comptes d'ordinateur" [2] doit être activée sur les contrôleurs de domaine. Les événements "Un compte d'ordinateur a été modifié", dont l'identifiant est 4742, sont ainsi générés dans le journal de sécurité.

De tels événements sont générés de manière légitime lorsqu'un compte d'ordinateur renouvelle son mot de passe. Néanmoins, l'attaque Zerologon conduit aux spécificités suivantes :

  • le champ SubjectUserName est "ANONYMOUS LOGON" ;
  • le champ TargetUserName est le compte machine d'un contrôleur de domaine.

Sur certains SI, des événements 4742 pourraient être générés avec le champ SubjectUserName égal à « ANONYMOUS LOGON ». Bien que ce ne soit pas le fonctionnement normal d'un SI, il n'est toutefois pas forcément révélateur d'une attaque mais pourrait provenir d'un défaut de configuration.

Lors des analyses du CERT-FR, des événements avec l'identifiant 5805 indiquant un accès refusé de Netlogon ont également été identifiés en combinaison avec l'événement 4742 pré-cité mais uniquement lors de la première attaque. Ces événements se trouvent dans le journal "système".

Il est fort probable que suite à une attaque réussie, un attaquant cherche à réaliser les actions suivantes qui peuvent également être identifiées grâce aux journaux :

  • l'attaquant pourrait utiliser le compte machine compromis pour mener d'autres actions telles que DCSync. Un événement d'authentification distante réussi (4624) avec le compte machine compromis pourrait avoir lieu ;
  • l'attaquant pourrait changer une seconde fois le mot de passe du compte machine, générant ainsi un second événement 4742 pour cette machine. En effet, le changement du mot de passe du compte machine du contrôleur de domaine conduit généralement à l'impossibilité pour d'autres services de s'authentifier auprès de lui. Cet effet de bord est expliqué ici [3]. Dans un fonctionnement normal, le mot de passe d'un compte machine n'est par renouvelé plusieurs fois en quelques heures.

Après application du correctif publié le 11 août par Microsoft, de nouveaux évènements sont disponibles afin de  journaliser les demandes de connexion de machines via un Secure Channel vulnérable [1].

 

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

 


La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Documentation