{"id":16565,"date":"2021-03-19T15:23:06","date_gmt":"2021-03-19T15:23:06","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=16565"},"modified":"2021-03-19T15:23:06","modified_gmt":"2021-03-19T15:23:06","slug":"zerologon-threat-mdr","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/zerologon-threat-mdr\/16565\/","title":{"rendered":"Comment se prot\u00e9ger contre Zerologon et des vuln\u00e9rabilit\u00e9s similaires"},"content":{"rendered":"

En septembre dernier, la US Cybersecurity and Infrastructure Security Agency<\/em> (CISA), qui publie rarement des directives sur des vuln\u00e9rabilit\u00e9s sp\u00e9cifiques, a ordonn\u00e9 aux organismes gouvernementaux utilisant Microsoft Windows Active Directory dans leurs r\u00e9seaux d\u2019installer imm\u00e9diatement un correctif sur les contr\u00f4leurs de domaine. Il s\u2019agit du probl\u00e8me li\u00e9 \u00e0 la vuln\u00e9rabilit\u00e9 CVE-2020-1472 du protocole Netlogon, alias Zerologon.<\/p>\n

Niveau 10 sur l\u2019\u00e9chelle des dangers<\/h2>\n

La vuln\u00e9rabilit\u00e9 Zerologon<\/a> provient d\u2019une faille dans l\u2019algorithme cryptographique du processus d\u2019authentification Netlogon, qui permet \u00e0 l\u2019intrus qui s\u2019est connect\u00e9 au r\u00e9seau de l\u2019entreprise ou qui a infect\u00e9 un ordinateur connect\u00e9 \u00e0 ce r\u00e9seau de mener une attaque, et \u00e0 terme, de pirater un contr\u00f4leur de domaine.<\/p>\n

La vuln\u00e9rabilit\u00e9 a obtenu un score de gravit\u00e9 CVSS v3 maximum, qui est de 10. Microsoft a install\u00e9 un correctif en ao\u00fbt dernier, mais c\u2019est une enqu\u00eate approfondie men\u00e9e par la soci\u00e9t\u00e9 n\u00e9erlandaise de cybers\u00e9curit\u00e9 Secura qui a attir\u00e9 notre attention sur la vuln\u00e9rabilit\u00e9 Zerologon et comment elle pouvait \u00eatre exploit\u00e9e. Quelques heures apr\u00e8s la publication du document, les chercheurs ont commenc\u00e9 \u00e0 publier leur propre preuve de concept (de l\u2019anglais proofs of concept<\/em>, PoC)<\/a>. Au cours des jours qui ont suivi, au moins quatre exemples de code open-source \u00e9taient disponibles sur GitHub, ce qui montre quelle peut \u00eatre l\u2019ampleur de l\u2019utilisation de cette vuln\u00e9rabilit\u00e9.<\/p>\n

Zerologon\u00a0: attaques dans le monde r\u00e9el<\/h3>\n

Bien entendu, les preuves de concept disponibles aux yeux de tous ont attir\u00e9 l\u2019int\u00e9r\u00eat non seulement des experts en cybers\u00e9curit\u00e9, mais aussi des cybercriminels qui n\u2019avaient qu\u2019\u00e0 copier\/coller le code dans leur logiciel malveillant. Par exemple, d\u00e9but d\u2019octobre dernier, Microsoft a annonc\u00e9 des tentatives d\u2019exploitation de la vuln\u00e9rabilit\u00e9 Zerologon par le groupe TA505. Les cybercriminels ont fait passer le malware comme une mise \u00e0 jour et ont compil\u00e9 des outils d\u2019attaque sur les ordinateurs infect\u00e9s afin d\u2019exploiter la vuln\u00e9rabilit\u00e9.<\/p>\n

Un autre groupe, celui qui est derri\u00e8re le ransomware Ryuk, a utilis\u00e9 Zerologon pour infecter tout le r\u00e9seau local d\u2019une entreprise en seulement cinq heures<\/a>. Le gang, qui a envoy\u00e9 un e-mail d\u2019hame\u00e7onnage \u00e0 un des employ\u00e9s, a attendu qu\u2019il clique dessus et que l\u2019ordinateur soit infect\u00e9, et a ensuite utilis\u00e9 Zerologon pour se d\u00e9placer lat\u00e9ralement \u00e0 travers le r\u00e9seau, semant un ransomware pouvant \u00eatre ex\u00e9cut\u00e9 sur tous les serveurs et les postes de travail.<\/p>\n

Pourquoi Zerologon est une vuln\u00e9rabilit\u00e9 dangereuse<\/h2>\n

On pourrait croire qu\u2019exploiter Zerologon requiert une attaque sur un contr\u00f4leur de domaine depuis l\u2019int\u00e9rieur du r\u00e9seau local. Cependant, les cybercriminels ont surmont\u00e9 cet obstacle depuis longtemps en utilisant plusieurs m\u00e9thodes pour pirater l\u2019ordinateur dans le r\u00e9seau\u00a0; m\u00e9thodes qui incluent notamment les attaques d\u2019hame\u00e7onnage, de la cha\u00eene d\u2019approvisionnement et m\u00eame des prises r\u00e9seau sans surveillance se trouvant \u00e0 la port\u00e9e des visiteurs. Les connexions \u00e0 distance (que la plupart des entreprises utilisent de nos jours) constituent \u00e9galement un danger suppl\u00e9mentaire \u2013 surtout si les employ\u00e9s peuvent se connecter aux ressources de l\u2019entreprise \u00e0 partir de leurs propres dispositifs.<\/p>\n

Le probl\u00e8me principal avec Zerologon (et d\u2019autres vuln\u00e9rabilit\u00e9s hypoth\u00e9tiques de ce genre) c\u2019est que lorsqu\u2019elle est exploit\u00e9e, cela ressemble \u00e0 un \u00e9change de donn\u00e9es standard entre un ordinateur sur le r\u00e9seau et un contr\u00f4leur de domaine. Seule l\u2019intensit\u00e9 inhabituelle de l\u2019\u00e9change \u00e9veillera les soup\u00e7ons. Ainsi, les entreprises qui d\u00e9pendent uniquement de solutions de s\u00e9curit\u00e9 des terminaux ont peu de chance de d\u00e9tecter ces attaques.<\/p>\n

Il est pr\u00e9f\u00e9rable de laisser le traitement des anomalies de ce genre \u00e0 des services sp\u00e9cialis\u00e9s tels que Kaspersky Managed Detection and Response (MDR). C\u2019est en r\u00e9alit\u00e9 un centre de s\u00e9curit\u00e9 externe avec une connaissance approfondie des tactiques des cybercriminels, qui donne des recommandations pratiques et d\u00e9taill\u00e9es au client.<\/p>\n

La solution poss\u00e8de deux niveaux\u00a0: MDR optimum et MDR expert. D\u00e8s que les d\u00e9tails de Zerologon ont \u00e9t\u00e9 publi\u00e9s, les experts de Kaspersky SOC ont d\u00e9but\u00e9 le suivi des tentatives d\u2019exploitation de la vuln\u00e9rabilit\u00e9 au sein du service de s\u00e9curit\u00e9 MDR, en veillant \u00e0 ce que les deux versions de Kaspersky Managed Detection and Response puissent lutter contre cette menace.<\/p>\n

Kaspersky Managed Detection and Response fait partie de Kaspersky Optimum Security<\/a>. Pour en savoir plus sur la solution, vous pouvez vous rendre sur la page\u00a0 Kaspersky MDR<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

Afin d\u2019\u00e9liminer toutes les menaces nuisant \u00e0 l\u2019infrastructure de l\u2019entreprise, vous devez faire plus que seulement prot\u00e9ger vos postes de travail.<\/p>\n","protected":false},"author":2581,"featured_media":16566,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,686,3151],"tags":[4044,60],"class_list":{"0":"post-16565","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-threats","9":"category-smb","10":"tag-acces-non-autorise","11":"tag-vulnerabilite"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/zerologon-threat-mdr\/16565\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/zerologon-threat-mdr\/22621\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/zerologon-threat-mdr\/18114\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/zerologon-threat-mdr\/8993\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/zerologon-threat-mdr\/22433\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/zerologon-threat-mdr\/21467\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/zerologon-threat-mdr\/24926\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/zerologon-threat-mdr\/24178\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/zerologon-threat-mdr\/30359\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/zerologon-threat-mdr\/9440\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/zerologon-threat-mdr\/39026\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/zerologon-threat-mdr\/17212\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/zerologon-threat-mdr\/26376\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/zerologon-threat-mdr\/23721\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/zerologon-threat-mdr\/29001\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/zerologon-threat-mdr\/28803\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/vulnerabilite\/","name":"vuln\u00e9rabilit\u00e9"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/16565","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=16565"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/16565\/revisions"}],"predecessor-version":[{"id":16570,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/16565\/revisions\/16570"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/16566"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=16565"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=16565"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=16565"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}