{"id":15680,"date":"2020-09-16T14:17:06","date_gmt":"2020-09-16T14:17:06","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=15680"},"modified":"2020-09-16T14:17:06","modified_gmt":"2020-09-16T14:17:06","slug":"cve-2020-1472-domain-controller-vulnerability","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/cve-2020-1472-domain-controller-vulnerability\/15680\/","title":{"rendered":"La vuln\u00e9rabilit\u00e9 Zerologon menace les contr\u00f4leurs de domaine"},"content":{"rendered":"

Gr\u00e2ce au Patch Tuesday d\u2019ao\u00fbt Microsoft a corrig\u00e9 plusieurs vuln\u00e9rabilit\u00e9s dont CVE-2020-1472<\/a>. La vuln\u00e9rabilit\u00e9 du protocole Netlogon a re\u00e7u une note de gravit\u00e9 \u00ab\u00a0critique\u00a0\u00bb puisqu\u2019elle a obtenu le score CVSS maximum, \u00e0 savoir 10. Il ne fait aucun doute que cette menace \u00e9tait r\u00e9elle. L\u2019autre jour le chercheur Tom Tervoort de Secura (qui a d\u00e9couvert la vuln\u00e9rabilit\u00e9) a publi\u00e9 un rapport d\u00e9taill\u00e9 qui explique pourquoi la vuln\u00e9rabilit\u00e9, connue comme Zerologon, est si dangereuse et comment elle pouvait \u00eatre exploit\u00e9e pour pirater un contr\u00f4leur de domaine.<\/p>\n

Qu\u2019est-ce que Zerologon ?<\/h2>\n

Sur le fond, CVE-2020-1472 est une faille dans le processus d\u2019authentification cryptographique Netlogon Remote Protocol. Le protocole identifie les utilisateurs et les machines des r\u00e9seaux du domaine et est utilis\u00e9 pour mettre \u00e0 jour les mots de passe des ordinateurs \u00e0 distance. En exploitant cette vuln\u00e9rabilit\u00e9, un cybercriminel peut se faire passer pour l\u2019ordinateur d\u2019un client, modifier le mot de passe d\u2019un contr\u00f4leur de domaine (un serveur qui contr\u00f4le la totalit\u00e9 du r\u00e9seau et ex\u00e9cute les services Active Directory) et obtenir les droits d\u2019administrateur du domaine.<\/p>\n

Qui est vuln\u00e9rable ?<\/h2>\n

La faille CVE-2020-1472 menace les entreprises dont les r\u00e9seaux utilisent les contr\u00f4leurs de domaine ex\u00e9cut\u00e9s sous Windows. Les cybercriminels peuvent notamment pirater le contr\u00f4leur de domaine qui utilise n\u2019importe quelle version de Windows Server 2019 ou Windows Server 2016, ainsi que toute \u00e9dition de Windows Server version 1909, Windows Server version 1903, Windows Server version 1809 (\u00e9ditions Datacenter et Standard), Windows Server 2012 R2, Windows Server 2012 ou Windows Server 2008 R2 Service Pack 1. Pour perp\u00e9trer l\u2019attaque, les cybercriminels doivent d\u2019abord p\u00e9n\u00e9trer dans le r\u00e9seau de l\u2019entreprise mais cela n\u2019est pas vraiment compliqu\u00e9. Les attaques internes<\/a> et les acc\u00e8s via les ports Ethernet<\/a> dans les installations ouvertes au public n\u2019ont rien de nouveau.<\/p>\n

Heureusement, Zerologon n\u2019a pas encore \u00e9t\u00e9 utilis\u00e9 lors d\u2019une attaque dans le monde r\u00e9el, ou du moins personne ne l\u2019a signal\u00e9. Pourtant, le rapport de Tervoort a fait sensation et a tr\u00e8s certainement attir\u00e9 l\u2019attention des cybercriminels. M\u00eame si les chercheurs n\u2019ont pas publi\u00e9 une preuve de concept<\/a> qui fonctionne, ils n\u2019ont aucun doute que les escrocs peuvent en cr\u00e9er une \u00e0 partir du patch.<\/p>\n

Comment se prot\u00e9ger contre les attaques Zerologon<\/h2>\n

Microsoft a publi\u00e9 d\u00e9but ao\u00fbt les patchs<\/a> qui corrigent cette vuln\u00e9rabilit\u00e9 dans tous les syst\u00e8mes affect\u00e9s. Si vous n\u2019avez pas mis votre syst\u00e8me \u00e0 jour alors il est temps de le faire. De plus, l\u2019entreprise vous conseille de surveiller toute tentative de connexion faite via la version vuln\u00e9rable et d\u2019identifier les dispositifs qui ne sont pas compatibles avec la nouvelle version. Dans l\u2019id\u00e9al, et selon Microsoft, le contr\u00f4leur de domaine devrait \u00eatre configur\u00e9 de fa\u00e7on que tous les dispositifs utilisent la version s\u00e9curis\u00e9e de Netlogon.<\/p>\n

Les mises \u00e0 jour imposent cette restriction puisque Windows n\u2019est pas le seul \u00e0 utiliser le Netlogon Remote Protocol. De nombreux dispositifs bas\u00e9s sur d\u2019autres syst\u00e8mes d\u2019exploitation d\u00e9pendent aussi de ce protocole. Si vous rendez son utilisation obligatoire, les dispositifs non compatibles avec la version s\u00e9curis\u00e9e ne vont pas fonctionner correctement.<\/p>\n

N\u00e9anmoins, \u00e0 partir du 9 f\u00e9vrier 2021 les contr\u00f4leurs de domaine devront utiliser ce mode, obligeant tous les dispositifs \u00e0 avoir la version s\u00e9curis\u00e9e et mise \u00e0 jour de Netlogon. Les administrateurs doivent donc r\u00e9soudre en amont ce probl\u00e8me de compatibilit\u00e9 avec les dispositifs tiers, soit en les mettant \u00e0 jour soit en les ajoutant manuellement comme exception. Consultez l\u2019article de Microsoft<\/a> pour obtenir plus d\u2019informations sur le patch d\u2019ao\u00fbt, savoir ce qui va changer en f\u00e9vrier et avoir des instructions d\u00e9taill\u00e9es.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

La vuln\u00e9rabilit\u00e9 CVE-2020-1472 du protocole Netlogon, alias Zerologon, permet aux cybercriminels de pirater les contr\u00f4leurs de domaine.<\/p>\n","protected":false},"author":2581,"featured_media":15681,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[3171,31,60,322],"class_list":{"0":"post-15680","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-cve","11":"tag-microsoft","12":"tag-vulnerabilite","13":"tag-vulnerabilites"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cve-2020-1472-domain-controller-vulnerability\/15680\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cve-2020-1472-domain-controller-vulnerability\/21903\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cve-2020-1472-domain-controller-vulnerability\/17377\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cve-2020-1472-domain-controller-vulnerability\/23294\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cve-2020-1472-domain-controller-vulnerability\/21486\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cve-2020-1472-domain-controller-vulnerability\/20106\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cve-2020-1472-domain-controller-vulnerability\/23898\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cve-2020-1472-domain-controller-vulnerability\/22837\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cve-2020-1472-domain-controller-vulnerability\/29085\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/cve-2020-1472-domain-controller-vulnerability\/8828\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cve-2020-1472-domain-controller-vulnerability\/37048\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cve-2020-1472-domain-controller-vulnerability\/16049\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/cve-2020-1472-domain-controller-vulnerability\/13982\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cve-2020-1472-domain-controller-vulnerability\/25178\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/cve-2020-1472-domain-controller-vulnerability\/11985\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/cve-2020-1472-domain-controller-vulnerability\/29235\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/cve-2020-1472-domain-controller-vulnerability\/26096\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cve-2020-1472-domain-controller-vulnerability\/22875\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cve-2020-1472-domain-controller-vulnerability\/28197\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cve-2020-1472-domain-controller-vulnerability\/28029\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/vulnerabilite\/","name":"vuln\u00e9rabilit\u00e9"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/15680","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=15680"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/15680\/revisions"}],"predecessor-version":[{"id":15691,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/15680\/revisions\/15691"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/15681"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=15680"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=15680"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=15680"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}