Accueil > Alertes CERT-MC > AVIS CERTFR - 2020 - ALE - 020

AVIS CERTFR - 2020 - ALE - 020

Objet : Vulnérabilité dans Microsoft Netlogon

Référence : CERTFR-2020-ALE-020

RISQUE(S)

Élévation de privilèges

SYSTÈMES AFFECTÉS
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)

RÉSUMÉ
Le 11 août 2020, Microsoft a publié un avis de sécurité concernant la correction d'une vulnérabilité affectant le protocole Netlogon Remote Protocol.

Le CERT-FR a émis un avis le 12 août 2020 ainsi que des bulletins informant de la situation. Cette vulnérabilité, jugée critique (score CVSS3 de 9 sur 10), concerne les différentes versions de Mircosoft Windows Server où le rôle ADDS (Active Directory Domain Services) est installé et où le serveur joue le rôle de contrôleur de domaine. Cette vulnérabilité peut aisément être exploitée par un acteur mal intentionné ayant un accès aux ports TCP ouverts par le service Netlogon.

L'exploitation de cette vulnérabilité peut entraîner une élévation de privilèges sur les contrôleurs de domaine ayant pour conséquence l'accès à l'ensemble des ressources gérées par les domaines Active Directory. La mise à jour de cette vulnérabilité doit être complétée par plusieurs modifications du système détaillées dans un article publié par Microsoft [1].

Des codes d'exploitation ont été publiés récemment sur Internet. Si vous n'avez pas déployé les correctifs mis à disposition par l'éditeur le 11 août 2020, il est nécessaire de les appliquer sans délai et d'effectuer des contrôles du système d'information afin de détecter une éventuelle compromission, notamment en investiguant vos journaux systèmes et réseaux afin d’identifier les éventuelles connexions illégitimes et les possibles latéralisation par un ou plusieurs attaquants sur votre infrastructure.

Par ailleurs, le CERT-FR rappelle que les contrôleurs de domaines, en tant que systèmes névralgiques, ne doivent, en aucun cas, être accessibles directement depuis internet.

Pour rappel :

Les bons réflexes en cas d’intrusion sur un système d’information : https://www.cert.ssi.gouv.fr/information/CERTA-2002-INF-002/  
Le guide d’hygiène informatique : https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf

SOLUTION
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

DOCUMENTATION

Bulletin de sécurité Microsoft du 11 août 2020
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472  
avis CERT-FR CERTFR-2020-AVI-501 du 12 août 2020
https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-501/  
Bulletin CERT-FR CERTFR-2020-ACT-003 du 17 août 2020
https://www.cert.ssi.gouv.fr/actualite/CERTFR-2020-ACT-003/  
Bulletin CERT-FR CERTFR-2020-ACT-005 du 14 septembre 2020
https://www.cert.ssi.gouv.fr/actualite/CERTFR-2020-ACT-005/  
[1] Publication du Support Technique Microsoft du 14 août 2020
https://support.microsoft.com/kb/4557222  

Dernière version du document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-020/

AVIS CERTFR - 2020 - ALE - 021

18 septembre 2020
actualite

Objet : Vulnérabilité dans SambaRéférence : CERTFR-2020-ALE-021Risque(s)- Élévation de privilègesSystèmes affectésSamba 4.x configuré en tant que c... Lire la suite[+]

AVIS CERTFR - 2020 - AVI - 579

18 septembre 2020
actualite

Objet : Vulnérabilité dans SambaRéférence : CERTFR-2020-AVI-579Risque(s)- Élévation de privilègesSystèmes affectés- Samba 4.x configuré en tant que... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC OIV
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2020-ALE-020