AVIS CERTFR - 2020 - ALE - 020
Publié le 15 septembre 2020 à 13h22 - Mis à jour le 31 janvier 2025 à 11h15
Objet
Vulnérabilité dans Microsoft Netlogon
Référence
CERTFR-2020-ALE-020
Risque(s)
Élévation de privilèges
Systèmes affectés
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
- Windows Server 2012
- Windows Server 2012 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2016
- Windows Server 2016 (Server Core installation)
- Windows Server 2019
- Windows Server 2019 (Server Core installation)
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 1909 (Server Core installation)
- Windows Server, version 2004 (Server Core installation)
Résumé
Le 11 août 2020, Microsoft a publié un avis de sécurité concernant la correction d'une vulnérabilité affectant le protocole Netlogon Remote Protocol.
Le CERT-FR a émis un avis le 12 août 2020 ainsi que des bulletins informant de la situation. Cette vulnérabilité, jugée critique (score CVSS3 de 9 sur 10), concerne les différentes versions de Mircosoft Windows Server où le rôle ADDS (Active Directory Domain Services) est installé et où le serveur joue le rôle de contrôleur de domaine. Cette vulnérabilité peut aisément être exploitée par un acteur mal intentionné ayant un accès aux ports TCP ouverts par le service Netlogon.
L'exploitation de cette vulnérabilité peut entraîner une élévation de privilèges sur les contrôleurs de domaine ayant pour conséquence l'accès à l'ensemble des ressources gérées par les domaines Active Directory. La mise à jour de cette vulnérabilité doit être complétée par plusieurs modifications du système détaillées dans un article publié par Microsoft [1].
Des codes d'exploitation ont été publiés récemment sur Internet. Si vous n'avez pas déployé les correctifs mis à disposition par l'éditeur le 11 août 2020, il est nécessaire de les appliquer sans délai et d'effectuer des contrôles du système d'information afin de détecter une éventuelle compromission, notamment en investiguant vos journaux systèmes et réseaux afin d’identifier les éventuelles connexions illégitimes et les possibles latéralisation par un ou plusieurs attaquants sur votre infrastructure.
Par ailleurs, le CERT-FR rappelle que les contrôleurs de domaines, en tant que systèmes névralgiques, ne doivent, en aucun cas, être accessibles directement depuis internet.
Pour rappel :
Les bons réflexes en cas d’intrusion sur un système d’information : https://www.cert.ssi.gouv.fr/information/CERTA-2002-INF-002/
Le guide d’hygiène informatique : https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft du 11 août 2020 : https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472
- Avis CERT-FR CERTFR-2020-AVI-501 du 12 août 2020 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-501/
- Bulletin CERT-FR CERTFR-2020-ACT-003 du 17 août 2020 : https://www.cert.ssi.gouv.fr/actualite/CERTFR-2020-ACT-003/
- Bulletin CERT-FR CERTFR-2020-ACT-005 du 14 septembre 2020 : https://www.cert.ssi.gouv.fr/actualite/CERTFR-2020-ACT-005/
- [1] Publication du Support Technique Microsoft du 14 août 2020 : https://support.microsoft.com/kb/4557222