Comment se protéger contre Zerologon et des vulnérabilités similaires

En septembre dernier, la US Cybersecurity and Infrastructure Security Agency (CISA), qui publie rarement des directives sur des vulnérabilités spécifiques, a ordonné aux organismes gouvernementaux utilisant Microsoft Windows Active Directory dans leurs réseaux d’installer immédiatement un correctif sur les contrôleurs de domaine. Il s’agit du problème lié à la vulnérabilité CVE-2020-1472 du protocole Netlogon, alias Zerologon.

Niveau 10 sur l’échelle des dangers

La vulnérabilité Zerologon provient d’une faille dans l’algorithme cryptographique du processus d’authentification Netlogon, qui permet à l’intrus qui s’est connecté au réseau de l’entreprise ou qui a infecté un ordinateur connecté à ce réseau de mener une attaque, et à terme, de pirater un contrôleur de domaine.

La vulnérabilité a obtenu un score de gravité CVSS v3 maximum, qui est de 10. Microsoft a installé un correctif en août dernier, mais c’est une enquête approfondie menée par la société néerlandaise de cybersécurité Secura qui a attiré notre attention sur la vulnérabilité Zerologon et comment elle pouvait être exploitée. Quelques heures après la publication du document, les chercheurs ont commencé à publier leur propre preuve de concept (de l’anglais proofs of concept, PoC). Au cours des jours qui ont suivi, au moins quatre exemples de code open-source étaient disponibles sur GitHub, ce qui montre quelle peut être l’ampleur de l’utilisation de cette vulnérabilité.

Zerologon : attaques dans le monde réel

Bien entendu, les preuves de concept disponibles aux yeux de tous ont attiré l’intérêt non seulement des experts en cybersécurité, mais aussi des cybercriminels qui n’avaient qu’à copier/coller le code dans leur logiciel malveillant. Par exemple, début d’octobre dernier, Microsoft a annoncé des tentatives d’exploitation de la vulnérabilité Zerologon par le groupe TA505. Les cybercriminels ont fait passer le malware comme une mise à jour et ont compilé des outils d’attaque sur les ordinateurs infectés afin d’exploiter la vulnérabilité.

Un autre groupe, celui qui est derrière le ransomware Ryuk, a utilisé Zerologon pour infecter tout le réseau local d’une entreprise en seulement cinq heures. Le gang, qui a envoyé un e-mail d’hameçonnage à un des employés, a attendu qu’il clique dessus et que l’ordinateur soit infecté, et a ensuite utilisé Zerologon pour se déplacer latéralement à travers le réseau, semant un ransomware pouvant être exécuté sur tous les serveurs et les postes de travail.

Pourquoi Zerologon est une vulnérabilité dangereuse

On pourrait croire qu’exploiter Zerologon requiert une attaque sur un contrôleur de domaine depuis l’intérieur du réseau local. Cependant, les cybercriminels ont surmonté cet obstacle depuis longtemps en utilisant plusieurs méthodes pour pirater l’ordinateur dans le réseau ; méthodes qui incluent notamment les attaques d’hameçonnage, de la chaîne d’approvisionnement et même des prises réseau sans surveillance se trouvant à la portée des visiteurs. Les connexions à distance (que la plupart des entreprises utilisent de nos jours) constituent également un danger supplémentaire – surtout si les employés peuvent se connecter aux ressources de l’entreprise à partir de leurs propres dispositifs.

Le problème principal avec Zerologon (et d’autres vulnérabilités hypothétiques de ce genre) c’est que lorsqu’elle est exploitée, cela ressemble à un échange de données standard entre un ordinateur sur le réseau et un contrôleur de domaine. Seule l’intensité inhabituelle de l’échange éveillera les soupçons. Ainsi, les entreprises qui dépendent uniquement de solutions de sécurité des terminaux ont peu de chance de détecter ces attaques.

Il est préférable de laisser le traitement des anomalies de ce genre à des services spécialisés tels que Kaspersky Managed Detection and Response (MDR). C’est en réalité un centre de sécurité externe avec une connaissance approfondie des tactiques des cybercriminels, qui donne des recommandations pratiques et détaillées au client.

La solution possède deux niveaux : MDR optimum et MDR expert. Dès que les détails de Zerologon ont été publiés, les experts de Kaspersky SOC ont débuté le suivi des tentatives d’exploitation de la vulnérabilité au sein du service de sécurité MDR, en veillant à ce que les deux versions de Kaspersky Managed Detection and Response puissent lutter contre cette menace.

Kaspersky Managed Detection and Response fait partie de Kaspersky Optimum Security. Pour en savoir plus sur la solution, vous pouvez vous rendre sur la page  Kaspersky MDR.