De Zero(Logon) en héros !

Cette vulnérabilité est à mon sens LA vulnérabilité de 2020. Référencée CVE-2020-1472, elle affectait le protocole Netlogon, utilisé par les postes Windows pour gérer les authentifications au niveau des domaines Active Directory ou encore réaliser diverses opérations d’administration comme forcer la réinitialisation de mot de passe, etc. 

D’où provient cette vulnérabilité ?  

Cette vulnérabilité était due à une erreur dans l’implémentation de l’algorithme de chiffrement AES-CFB8. Ce dernier est utilisé pour générer un secret à partir du mot de passe pour permettre l’authentification. Cet algorithme a une chance sur 256 de générer une sortie vide à partir d’un vecteur d’initialisation vide. Les ingénieurs derrière le protocole n’avaient pas envisagé ce cas limite. Dans un livre blanc publié en … 2020, les chercheurs de Secura Labs démontrent dans leur papier théorique comment ils ont été en mesure d’abuser du protocole Netlogon afin de réinitialiser le mot de passe du contrôleur de domaine pour un mot de passe vide. L’effet immédiat de cette exploitation est que ces derniers ont pu se connecter avec le compte du DC et ainsi obtenir tous les droits sur l’Active Directory ainsi que les postes liés. C’est l’un des objectifs courants des opérateurs de ransomware afin de pouvoir accéder à l’ensemble des fichiers et chiffrer un maximum de postes. 

Suite à la publication du whitepaper le 11 septembre 2020, il aura fallu attendre moins d’une semaine pour voir apparaître de nombreux codes d’exploitation sur la plateforme de partage de code ouverte GitHub. 

Dès lors, n’importe quelle personne téléchargeant le code et l’exécutant contre un domaine vulnérable était en mesure de devenir administrateur de domaine instantanément.  

La vulnérabilité a permis à des opérateurs de ransomware réputés tels que Ryuk de compromettre entièrement un système d’information en 2 heures. 

La publication (délicate) des correctifs

La publication du correctif était délicate, car il fallait modifier l’implémentation d’un algorithme utilisé par un protocole historique et afin d’éviter les effets de bords, Microsoft a préféré le publier en deux temps :  

• Un premier correctif à destination des contrôleurs de domaines en juillet 2020, permettant d’éviter l’exploitation de la vulnérabilité mais laissant quand même les postes utilisant un canal non sécurisé se connecter au contrôleur de domaine 
• Un deuxième correctif définitif, déployé en février 2021, empêchant les domaines utilisant un canal MS-NRPC non sécurisé de se connecter au contrôleur de domaine. 

L’objectif était de permettre aux équipes DSI de pouvoir identifier les postes du domaine non compatibles et d’envisager une mise à jour ou de décommissionner des équipements avant de déployer le patch. 

Même si le correctif a été mis à disposition lors du Patch Tuesday de février 2021, nous savons que dans certains cas, les processus de Patch Management ralentit fortement le déploiement des correctifs. Nous pouvons nous attendre à d’autres compromissions qui s’appuient sur cette vulnérabilité. 

Nous vous proposons de mettre en lumière les 5 actus chocs de 2020 ! Découvrez les 4 autres :

• SolarWinds Orion : LA compromission de 2020(/2021?) 
• Twitter : Give me your bitcoins
• Salut et merci pour le poison ! Flash Player tire sa révérence !  
• Corp.com – Comment Microsoft a créé un écosystème vulnérable  

Afin de vous tenir au courant de l’actualité, nous vous recommandons de souscrire à notre service de veille yuno que vous pourrez essayer gratuitement. Vous aurez accès à une veille technique et une veille informationnelle le tout associé à un niveau de criticité.

par Aurélien Denis, Consultant, XMCO