Risque(s)

  • Élévation de privilèges

Systèmes affectés

  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server, version 1903 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)
  • Windows Server, version 2004 (Server Core installation)

Résumé

[Mise à jour du 25 septembre 2020]

L'évolution actuelle des méthodes d'attaques diminue fortement les capacités de détection à l'aide des journaux d'évènements de Microsoft Windows. La section "Informations d'aide à la détection" a été mise à jour.

 

[Mise à jour du 24 septembre 2020]

Microsoft confirme l'exploitation de cette vulnérabilité par des attaquants.

Le CERT-FR rappelle qu'il est impératif d'appliquer le correctif de l'éditeur sans délai sur tous les contrôleurs de domaine (DC, RODC), ainsi que de suivre les recommandations de l'éditeur concernant les évolutions à venir pour renforcer la sécurité du protocole Microsoft Netlogon [1].

Microsoft Security Intelligence a par ailleurs publié des marqueurs techniques de codes d'exploitation (voir ci-dessous, section "Information d'aide à la détection").

Le CERT-FR rappelle également que Samba, configuré en contrôleur de domaine, est potentiellement vulnérable et qu'il convient de le sécuriser également sans délai [4].

 

[Mise à jour du 21 septembre 2020]

Des informations d'aide à la détection sont consultables ci-dessous.

 

[version initiale]

Le 11 août 2020, Microsoft a publié un avis de sécurité concernant la correction d'une vulnérabilité affectant le protocole Netlogon Remote Protocol.

Le CERT-FR a émis un avis le 12 août 2020 ainsi que des bulletins informant de la situation. Cette vulnérabilité, jugée critique (score CVSS3 de 10 sur 10), concerne les différentes versions de Microsoft Windows Server où le rôle ADDS (Active Directory Domain Services) est installé et où le serveur joue le rôle de contrôleur de domaine. Cette vulnérabilité peut aisément être exploitée par un acteur mal intentionné ayant un accès aux ports TCP ouverts par le service Netlogon.

L'exploitation de cette vulnérabilité peut entraîner une élévation de privilèges sur les contrôleurs de domaine ayant pour conséquence l'accès à l'ensemble des ressources gérées par les domaines Active Directory. La mise à jour de cette vulnérabilité doit être complétée par plusieurs modifications du système détaillées dans un article publié par Microsoft [1].

Des codes d'exploitation ont été publiés récemment sur Internet. Si vous n'avez pas déployé les correctifs mis à disposition par l'éditeur le 11 août 2020, il est nécessaire de les appliquer sans délai et d'effectuer des contrôles du système d'information afin de détecter une éventuelle compromission, notamment en investiguant vos journaux systèmes et réseaux afin d’identifier les éventuelles connexions illégitimes et les possibles latéralisation par un ou plusieurs attaquants sur votre infrastructure.

Par ailleurs, le CERT-FR rappelle que les contrôleurs de domaines, en tant que systèmes névralgiques, ne doivent, en aucun cas, être accessibles directement depuis internet.

Pour rappel :


Informations d'aide à la détection

[25 septembre 2020] IMPORTANT : Les informations ci-dessous permettent de détecter la méthode d'attaque décrite initialement par les chercheurs, qui consiste à modifier le mot de passe du compte d'une machine contrôleur de domaine. D'autres chemins d'attaque existent désormais qui ne produiront donc pas les mêmes évènements.

Il est possible, dans certaines conditions, de détecter une tentative d'exploitation qui aurait pu subvenir avant application du correctif de Microsoft, grâce aux journaux générés par Windows.

Pour cela, la politique d'audit "Gestion du compte > Auditer la gestion des comptes d'ordinateur" [2] doit être activée sur les contrôleurs de domaine. Les événements "Un compte d'ordinateur a été modifié", dont l'identifiant est 4742, sont ainsi générés dans le journal de sécurité.

De tels événements sont générés de manière légitime lorsqu'un compte d'ordinateur renouvelle son mot de passe. Néanmoins, l'attaque Zerologon conduit aux spécificités suivantes :

  • le champ SubjectUserName est "ANONYMOUS LOGON" ;
  • le champ TargetUserName est le compte machine d'un contrôleur de domaine.

Sur certains SI, des événements 4742 pourraient être générés avec le champ SubjectUserName égal à « ANONYMOUS LOGON ». Bien que ce ne soit pas le fonctionnement normal d'un SI, il n'est toutefois pas forcément révélateur d'une attaque mais pourrait provenir d'un défaut de configuration.

Lors des analyses du CERT-FR, des événements avec l'identifiant 5805 indiquant un accès refusé de Netlogon ont également été identifiés en combinaison avec l'événement 4742 pré-cité mais uniquement lors de la première attaque. Ces événements se trouvent dans le journal "système".

Il est fort probable que suite à une attaque réussie, un attaquant cherche à réaliser les actions suivantes qui peuvent également être identifiées grâce aux journaux :

  • l'attaquant pourrait utiliser le compte machine compromis pour mener d'autres actions telles que DCSync. Un événement d'authentification distante réussi (4624) avec le compte machine compromis pourrait avoir lieu ;
  • l'attaquant pourrait changer une seconde fois le mot de passe du compte machine, générant ainsi un second événement 4742 pour cette machine. En effet, le changement du mot de passe du compte machine du contrôleur de domaine conduit généralement à l'impossibilité pour d'autres services de s'authentifier auprès de lui. Cet effet de bord est expliqué ici [3]. Dans un fonctionnement normal, le mot de passe d'un compte machine n'est par renouvelé plusieurs fois en quelques heures.

Après application du correctif publié le 11 août par Microsoft, de nouveaux évènements sont disponibles afin de  journaliser les demandes de connexion de machines via un Secure Channel vulnérable [1].

Le 24 septembre2020, Microsoft Security Intelligence a publié des marqueurs techniques de codes d'exploitation (SHA-256) :

b9088bea916e1d2137805edeb0b6a549f876746999fbb1b4890fb66288a59f9d
24d425448e4a09e1e1f8daf56a1d893791347d029a7ba32ed8c43e88a2d06439
c4a97815d2167df4bdf9bfb8a9351f4ca9a175c3ef7c36993407c766b57c805b

 

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation) et suivre les informations communiquées par l'éditeur concernant le déploiement progressif de la sécurisation du protocole Netlogon [1].

 


La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Documentation