Microsoft met en garde contre les attaques en cours utilisant la faille Windows Zerologon
Le Threat Intelligence Center de Microsoft met en garde contre une attaque qui pourrait être causée par l’exploitation d’une faille de sécurité critique CVE-2020-1472 classée 10/10.
Selon l’entreprise, les attaques en cours ont été observées à plusieurs reprises au cours des deux dernières semaines. Le groupe de cyberespionnage MuddyWater, soutenu par l’Iran, a lancé de tels attaquants en utilisant les exploits de ZeroLogon.
«Le MSTIC a observé l’activité de l’acteur d’État-nation MERCURY utilisant l’exploit CVE-2020-1472 (ZeroLogon) dans des campagnes actives au cours des 2 dernières semaines. Nous recommandons fortement l’application de correctifs.
Un avertissement similaire a également été signalé par la société le mois dernier, le 23 septembre, lorsqu’elle a exhorté l’administrateur informatique à appliquer des mises à jour de sécurité dans le cadre du correctif d’août 2020 mardi pour se défendre contre les attaques utilisant des exploits publics ZeroLogon.
ZeroLogon est une faille de sécurité critique que les attaquants pourraient utiliser pour élever les privilèges à un administrateur de domaine. Lorsqu’ils sont exploités avec succès, ils peuvent prendre le contrôle complet du domaine, modifier le mot de passe de n’importe quel utilisateur et exécuter n’importe quelle commande.
Une semaine plus tard, Cisco Talos, a également averti, “un pic dans les tentatives d’exploitation contre la vulnérabilité Microsoft CVE-2020-1472, un bogue d’élévation de privilèges dans Netlogon”.
Microsoft déploie le correctif pour le ZeroLogon en deux étapes, car il peut provoquer des problèmes d’authentification sur certains des appareils concernés.
Le premier, publié le 11 août, empêche les contrôleurs de domaine Windows Active Directory d’utiliser la communication RPC non sécurisée et enregistre les demandes d’authentification provenant d’appareils non Windows qui ne sécurisent pas les canaux RPC pour permettre à l’administrateur de réparer ou de remplacer les appareils affectés.
Microsoft publiera une autre mise à jour, à partir de la mise à jour du Patch Tuesday de février 2021 pour activer le mode d’application qui oblige tous les périphériques réseau à utiliser un RPC sécurisé, à moins que l’administrateur ne l’autorise.
La société a clarifié les étapes concernant la protection des appareils contre les attaques en cours à l’aide d’exploits ZeroLogon le 29 septembre. À ce moment-là, Microsoft a présenté le plan de mise à jour:
- Mettez à jour les contrôleurs de domaine vers la mise à jour publiée le 11 août 2020 ou version ultérieure
- Trouvez les appareils avec une connexion vulnérable en surveillant les journaux d’événements
- Traiter les appareils non conformes,
- Activer le mode d’application pour traiter la CVE-2020-1472