ALERTE : Vulnérabilité dans Microsoft Netlogon (15.09.20)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE : Vulnérabilité dans Microsoft Netlogon (15.09.20)

Messagede pierre » 15 Sep 2020, 18:44

ALERTE : Vulnérabilité dans Microsoft Netlogon (15.09.20)


Risque(s)
Élévation de privilèges

Systèmes affectés
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)

Résumé
Le 11 août 2020, Microsoft a publié un avis de sécurité concernant la correction d'une vulnérabilité affectant le protocole Netlogon Remote

Protocol.
Le CERT-FR a émis un avis le 12 août 2020 ainsi que des bulletins informant de la situation ( viewtopic.php?f=173&t=35835 ). Cette vulnérabilité, jugée critique (score CVSS3 de 9 sur 10), concerne les différentes versions de Microsoft Windows Server où le rôle ADDS (Active Directory Domain Services) est installé et où le serveur joue le rôle de contrôleur de domaine. Cette vulnérabilité peut aisément être exploitée par un acteur mal intentionné ayant un accès aux ports TCP ouverts par le service Netlogon.

L'exploitation de cette vulnérabilité peut entraîner une élévation de privilèges sur les contrôleurs de domaine ayant pour conséquence l'accès à l'ensemble des ressources gérées par les domaines Active Directory. La mise à jour de cette vulnérabilité doit être complétée par plusieurs modifications du système détaillées dans un article publié par Microsoft [1].

Des codes d'exploitation ont été publiés récemment sur Internet. Si vous n'avez pas déployé les correctifs mis à disposition par l'éditeur le 11 août 2020, il est nécessaire de les appliquer sans délai et d'effectuer des contrôles du système d'information afin de détecter une éventuelle compromission, notamment en investiguant vos journaux systèmes et réseaux afin d’identifier les éventuelles connexions illégitimes et les possibles latéralisation par un ou plusieurs attaquants sur votre infrastructure.

Par ailleurs, le CERT-FR rappelle que les contrôleurs de domaines, en tant que systèmes névralgiques, ne doivent, en aucun cas, être accessibles directement depuis internet.

Pour rappel :
Les bons réflexes en cas d’intrusion sur un système d’information : https://www.cert.ssi.gouv.fr/informatio ... 2-INF-002/
Le guide d’hygiène informatique : https://www.ssi.gouv.fr/uploads/2017/01 ... _anssi.pdf

Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation
Bulletin de sécurité Microsoft du 11 août 2020
https://portal.msrc.microsoft.com/en-US ... -2020-1472
avis viewtopic.php?f=173&t=35835 du 12 août 2020

https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-501/
Bulletin CERT-FR CERTFR-2020-ACT-003 du 17 août 2020
https://www.cert.ssi.gouv.fr/actualite/ ... 0-ACT-003/

Bulletin CERT-FR CERTFR-2020-ACT-005 du 14 septembre 2020
https://www.cert.ssi.gouv.fr/actualite/ ... 0-ACT-005/

[1] Publication du Support Technique Microsoft du 14 août 2020
https://support.microsoft.com/kb/4557222
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 29486
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE : Vulnérabilité dans Microsoft Netlogon (15.09.20

Messagede pierre » 20 Jan 2021, 20:09

Mise jour :


Risque(s)
Élévation de privilèges

Systèmes affectés
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)

Résumé
[Mise à jour du 20 janvier 2021]

L'éditeur rappelle dans un billet de blog que la dernière étape de correction pour la vulnérabilité CVE-2020-1472 aura lieu lors du Patch Tuesday du 9 février 2021 [5].

Il est donc impératif d'avoir réalisé l'ensemble des étapes préalables avant cette date, conformément au guide de l'éditeur ([1]).

[Mise à jour du 25 septembre 2020]

L'évolution actuelle des méthodes d'attaques diminue fortement les capacités de détection à l'aide des journaux d'évènements de Microsoft Windows. La section "Informations d'aide à la détection" a été mise à jour.



[Mise à jour du 24 septembre 2020]

Microsoft confirme l'exploitation de cette vulnérabilité par des attaquants.

Le CERT-FR rappelle qu'il est impératif d'appliquer le correctif de l'éditeur sans délai sur tous les contrôleurs de domaine (DC, RODC), ainsi que de suivre les recommandations de l'éditeur concernant les évolutions à venir pour renforcer la sécurité du protocole Microsoft Netlogon [1].

Microsoft Security Intelligence a par ailleurs publié des marqueurs techniques de codes d'exploitation (voir ci-dessous, section "Information d'aide à la détection").

Le CERT-FR rappelle également que Samba, configuré en contrôleur de domaine, est potentiellement vulnérable et qu'il convient de le sécuriser également sans délai [4].



[Mise à jour du 21 septembre 2020]

Des informations d'aide à la détection sont consultables ci-dessous.



[version initiale]

Le 11 août 2020, Microsoft a publié un avis de sécurité concernant la correction d'une vulnérabilité affectant le protocole Netlogon Remote Protocol.

Le CERT-FR a émis un avis le 12 août 2020 ainsi que des bulletins informant de la situation. Cette vulnérabilité, jugée critique (score CVSS3 de 10 sur 10), concerne les différentes versions de Microsoft Windows Server où le rôle ADDS (Active Directory Domain Services) est installé et où le serveur joue le rôle de contrôleur de domaine. Cette vulnérabilité peut aisément être exploitée par un acteur mal intentionné ayant un accès aux ports TCP ouverts par le service Netlogon.

L'exploitation de cette vulnérabilité peut entraîner une élévation de privilèges sur les contrôleurs de domaine ayant pour conséquence l'accès à l'ensemble des ressources gérées par les domaines Active Directory. La mise à jour de cette vulnérabilité doit être complétée par plusieurs modifications du système détaillées dans un article publié par Microsoft [1].

Des codes d'exploitation ont été publiés récemment sur Internet. Si vous n'avez pas déployé les correctifs mis à disposition par l'éditeur le 11 août 2020, il est nécessaire de les appliquer sans délai et d'effectuer des contrôles du système d'information afin de détecter une éventuelle compromission, notamment en investiguant vos journaux systèmes et réseaux afin d’identifier les éventuelles connexions illégitimes et les possibles latéralisation par un ou plusieurs attaquants sur votre infrastructure.

Par ailleurs, le CERT-FR rappelle que les contrôleurs de domaines, en tant que systèmes névralgiques, ne doivent, en aucun cas, être accessibles directement depuis internet.

Pour rappel :

Les bons réflexes en cas d’intrusion sur un système d’information : https://www.cert.ssi.gouv.fr/informatio ... 2-INF-002/
Le guide d’hygiène informatique : https://www.ssi.gouv.fr/uploads/2017/01 ... _anssi.pdf

Informations d'aide à la détection

[25 septembre 2020] IMPORTANT : Les informations ci-dessous permettent de détecter la méthode d'attaque décrite initialement par les chercheurs, qui consiste à modifier le mot de passe du compte d'une machine contrôleur de domaine. D'autres chemins d'attaque existent désormais qui ne produiront donc pas les mêmes évènements.

Il est possible, dans certaines conditions, de détecter une tentative d'exploitation qui aurait pu subvenir avant application du correctif de Microsoft, grâce aux journaux générés par Windows.

Pour cela, la politique d'audit "Gestion du compte > Auditer la gestion des comptes d'ordinateur" [2] doit être activée sur les contrôleurs de domaine. Les événements "Un compte d'ordinateur a été modifié", dont l'identifiant est 4742, sont ainsi générés dans le journal de sécurité.

De tels événements sont générés de manière légitime lorsqu'un compte d'ordinateur renouvelle son mot de passe. Néanmoins, l'attaque Zerologon conduit aux spécificités suivantes :

le champ SubjectUserName est "ANONYMOUS LOGON" ;
le champ TargetUserName est le compte machine d'un contrôleur de domaine.

Sur certains SI, des événements 4742 pourraient être générés avec le champ SubjectUserName égal à « ANONYMOUS LOGON ». Bien que ce ne soit pas le fonctionnement normal d'un SI, il n'est toutefois pas forcément révélateur d'une attaque mais pourrait provenir d'un défaut de configuration.

Lors des analyses du CERT-FR, des événements avec l'identifiant 5805 indiquant un accès refusé de Netlogon ont également été identifiés en combinaison avec l'événement 4742 pré-cité mais uniquement lors de la première attaque. Ces événements se trouvent dans le journal "système".

Il est fort probable que suite à une attaque réussie, un attaquant cherche à réaliser les actions suivantes qui peuvent également être identifiées grâce aux journaux :

l'attaquant pourrait utiliser le compte machine compromis pour mener d'autres actions telles que DCSync. Un événement d'authentification distante réussi (4624) avec le compte machine compromis pourrait avoir lieu ;
l'attaquant pourrait changer une seconde fois le mot de passe du compte machine, générant ainsi un second événement 4742 pour cette machine. En effet, le changement du mot de passe du compte machine du contrôleur de domaine conduit généralement à l'impossibilité pour d'autres services de s'authentifier auprès de lui. Cet effet de bord est expliqué ici [3]. Dans un fonctionnement normal, le mot de passe d'un compte machine n'est par renouvelé plusieurs fois en quelques heures.

Après application du correctif publié le 11 août par Microsoft, de nouveaux évènements sont disponibles afin de journaliser les demandes de connexion de machines via un Secure Channel vulnérable [1].

Le 24 septembre2020, Microsoft Security Intelligence a publié des marqueurs techniques de codes d'exploitation (SHA-256) :

b9088bea916e1d2137805edeb0b6a549f876746999fbb1b4890fb66288a59f9d
24d425448e4a09e1e1f8daf56a1d893791347d029a7ba32ed8c43e88a2d06439
c4a97815d2167df4bdf9bfb8a9351f4ca9a175c3ef7c36993407c766b57c805b



Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation) et suivre les informations communiquées par l'éditeur concernant le déploiement progressif de la sécurisation du protocole Netlogon [1].



La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Documentation
Bulletin de sécurité Microsoft du 11 août 2020
https://portal.msrc.microsoft.com/en-US ... -2020-1472
avis CERT-FR CERTFR-2020-AVI-501 du 12 août 2020

https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-501/
Bulletin CERT-FR CERTFR-2020-ACT-003 du 17 août 2020

https://www.cert.ssi.gouv.fr/actualite/ ... 0-ACT-003/
Bulletin CERT-FR CERTFR-2020-ACT-005 du 14 septembre 2020

https://www.cert.ssi.gouv.fr/actualite/ ... 0-ACT-005/
[1] Publication du Support Technique Microsoft du 14 août 2020

https://support.microsoft.com/kb/4557222
[2] Guide technique Microsoft concernant la mise en place de l'audit sur la gestion des comptes

https://docs.microsoft.com/fr-fr/window ... event-4742
[3]https://twitter.com/_dirkjan/status/1306280553281449985

[4] Alerte CERT-FR concernant Samba configuré comme contrôleur de domaine
https://www.cert.ssi.gouv.fr/alerte/CER ... 0-ALE-021/

[5] Billet de Microsoft
https://msrc-blog.microsoft.com/2021/01 ... 2020-1472/

Gestion détaillée du document
le 15 septembre 2020
Version initiale

le 15 septembre 2020
ajout des règles de prudence dans la section ad hoc

le 17 septembre 2020
modification du score CVSS en cohérence avec le score de base indiqué par Microsoft

le 21 septembre 2020
ajout d'informations d'aide à la détection

le 24 septembre 2020
Complément d'information sur l'exploitation active de la vulnérabilité

le 25 septembre 2020
Mise à jour des informations de détection

le 20 janvier 2021
Rappel de la dernière étape de correction prévue pour le 09 février 2021
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 29486
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE : Vulnérabilité dans Microsoft Netlogon (15.09.20

Messagede pierre » 08 Juil 2021, 16:05

Cloturée le 11 mars 2021
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 29486
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant


Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 29 invités

cron