L’agence de cybersécurité et de sécurité des infrastructures (CISA), une subdivision du Department de la sécurité intérieure, a détecté une vulnérabilité critique pour Microsoft Netlogin Remote Protocol (MS-RPC). L’organisation gouvernementale de cybersécurité a également publié une directive d’urgence à l’intention du personnel informatique employé par le gouvernement fédéral en réponse à la vulnérabilité. Le problème a été classé comme grave, selon le magazine Forbes. La vulnérabilité confère à un attaquant déjà présent sur le réseau le controle d’un domaine Windows Server Active Directory.
Ce que ca veut dire?
La vulnérabilité a le potentiel de donner aux attaquants la possibilité d’obtenir le statut d’administrateur dans le système. Selon CISA, la vulnérabilité est suffisamment facile à exploiter. Ils mettent en alerte les équipes informatiques de la plupart des moyennes et grandes organisations, et en particulier celles au sein du gouvernement, qui devraient supposer que leurs réseaux ont déjà été accédés en l’utilisant. Le département de la sécurité intérieure a nommé la vulnérabilité «Zerologon», et sa directive de sécurité la traitant a été classée comme «sérieuse» avec un score de gravité CVE-2020-1472, qui est relativement élevé. Son nom est dérivé du fait qu’un attaquant n’a besoin que d’utiliser une chaîne de zéros soigneusement placée en utilisant le protocole Netlogon pour contourner les mesures de sécurité de connexion et être connecté en tant qu’utilisateur autorisé. Les attaquants doivent uniquement obtenir une connexion avec un contrôleur de domaine pour tout système qui n’a pas encore été corrigé. L’attaquant n’aura besoin d’aucun code d’authentification pour élever ses privilèges au niveau maximum, devenant, comme le dit Forbes, «Un admin instantantanné».
La directive d’urgence, nommée «20-04» et publiée par CISA, ordonne à toutes les agences fédérales d’appliquer immédiatement le correctif pour supprimer la vulnérabilité, qui, selon l’agence, constituait un «risque inacceptable». L’avertissement a été initialement envoyé aux agences fédérales le 19 septembre de cette année, et il ne leur a donné que deux jours pour appliquer la mise à jour ou pour enfreindre cet ordre obligatoire. La mauvaise nouvelle est que si vous en apprenez à ce sujet pour la première fois maintenant, vous êtes alors plus d’une semaine en retard sur la courbe.
Pour les petites et moyennes entreprises, vous serez peut-être rassuré de savoir que vos données ne seront pas autant ciblées que celles des institutions fédérales. Néanmoins, toute organisation qui espère protéger les informations client est fortement encouragée à appliquer la mise à jour de sécurité Microsoft d’août 2020. Le code a déjà montré aux attaquants un moyen facile d’attaquer les systèmes qui n’ont pas reçu le correctif. Les institutions non gouvernementales les plus vulnérables sont probablement les banques et les collèges. Ne prenez pas cette menace à la légère, l’automatisation de cette vulnérabilité par des groupes criminels entraînera dans un proche avenir les opérations de plusieurs milliers de petites et moyennes entreprises.
Quoi faire maintenant?
La bonne nouvelle est que la vulnérabilité de connexion a été entièrement corrigée dans la mise à jour de sécurité Microsoft d’août 2020. Les organisations qui n’ont pas encore appliqué la mise à jour d’août 2020 aux machines Windows Server qui servent un rôle de domaine sont invitées à exécuter tous les tests appropriés et à installer la mise à jour dès que possible. Des vulnérabilités suffisamment graves pour que le gouvernement fédéral émette des directives d’urgence surviennent au moins trois fois par an en moyenne. La dernière fois qu’une directive d’urgence comme celle-ci a été émise, c’était en juillet 2020. À cette occasion, les agences fédérales n’avaient que 24 heures pour appliquer le correctif disponible. Celui-ci leur a donné un week-end entier, ce qui indique probablement que l’exploit de juillet était plus sérieux. Cependant, il est fortement conseillé à tous les propriétaires d’entreprise de demander à leur personnel informatique de tester leurs réseaux et d’appliquer le correctif de sécurité Microsoft d’août 2020 dès que possible.