S'il est un moment où il faut réexaminer la sécurité de votre Active Directory, c'est bien maintenant.
En réponse aux inquiétudes croissantes suscitées par la célèbre vulnérabilité Zerologon (CVE-2020-1472), l'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a émis une "directive d'urgence" à l'intention des agences fédérales afin qu'elles appliquent immédiatement le correctif de Microsoft. Les entreprises seraient bien avisées de faire de même.
"Zerologon" : grave vulnérabilité avec élévation de privilèges
La semaine dernière, le code d'exploitation d'une grave vulnérabilité d'escalade des privilèges, baptisée "Zerologon", a fait surface en ligne. La vulnérabilité réside dans le protocole à distance Netlogon. En envoyant un certain nombre de messages Netlogon dont les différents champs sont remplis de zéros, l'attaquant peut modifier le mot de passe du contrôleur de domaine (DC) stocké dans AD. En effet, l'attaque permet à tout acteur de menace sur le réseau local d'élever ses privilèges et de compromettre le domaine Windows sans aucune information d'identification de l'utilisateur. Avec Zerologon, les attaquants peuvent voler les informations d'identification d'ADministrateur du domaine et restaurer le mot de passe original du contrôleur de domaine, facilitant ainsi toutes sortes d'attaques, du ransomware au vol de données.
Découvert par des chercheurs de Secura, le bogue a un score CVSS de 10 sur 10, le plus sévère. De nombreux exploits de démonstration de concept pour Zerologon ont déjà été diffusés dans la nature. Zerologon a également été rendu opérationnel dans une version mise à jour de l'outil Mimikatz.
Avez-vous apporté des correctifs ?
Avec les exploits qui circulent, la pression est à son comble pour que les correctifs soient apportés le plus rapidement possible. Ce problème est traité en deux parties. En août, Microsoft a publié une mise à jour de sécurité qui modifie le protocole Netlogon afin de protéger les appareils Windows par défaut, de consigner les événements liés à la découverte d'appareils non conformes et d'activer la protection pour tous les appareils reliés à un domaine, sauf exceptions explicites. Une deuxième mise à jour est prévue pour le premier trimestre 2021. Elle imposera l'utilisation d'appels de procédure à distance (RPC) sécurisés pour les comptes de machine sur les systèmes non basés sur Windows, sauf si le "contrôleur de domaine" l'autorise : Autoriser les connexions de canal sécurisé Netlogon vulnérables".
Il convient de noter qu'après le déploiement de la mise à jour d'août, les DC corrigés enregistreront l'événement ID 5829 dans le journal des événements du système chaque fois qu'une connexion vulnérable au canal sécurisé Netlogon est autorisée. Microsoft conseille aux organisations de traiter ces événements avant que le mode d'application DC ne soit configuré ou avant la mise à jour en 2021 afin d'éviter les pannes. Il est également essentiel que tous les DC, même les contrôleurs de domaine en lecture seule, soient mis à jour. Le processus d'application de correctifs n'est pas toujours facile, et il est souvent retardé en raison du grand nombre d'applications et de systèmes dans les environnements informatiques et de la crainte générale de perturber les opérations. Néanmoins, toute organisation utilisant Active Directory devrait commencer à identifier les systèmes vulnérables dès maintenant et donner la priorité à l'application des correctifs.
Se préparer à un afflux de nouvelles attaques ciblant Active Directory
Après avoir rigoureusement appliqué les correctifs, il est temps de reconnaître l'afflux de nouvelles attaques exploitant Active Directory. Comprenez vos points faibles et concentrez-vous sur le renforcement d'AD. L'évaluation des vulnérabilités et de la configuration est un élément essentiel pour relever le niveau d'exigence des attaquants ciblant AD. De même, la surveillance continue des modifications apportées à l'AD qui contournent les journaux de sécurité et l'activation du retour en arrière autonome des modifications suspectes qui sont trop risquées pour attendre une intervention humaine permettront d'arrêter les mouvements latéraux et les menaces persistantes avancées. La surveillance automatisée, l'évaluation des vulnérabilités et la remédiation sont des éléments essentiels pour assurer la sécurité de votre environnement AD.
En cas de cyber-catastrophe, la réalisation de sauvegardes régulières et le stockage de copies hors ligne feront la différence entre une brève panne et un temps d'arrêt prolongé en cas de compromission d'AD. Dans le cas contraire, les sauvegardes accessibles par le réseau peuvent facilement être détruites et augmenter les chances de paiement de la victime. Les organisations devraient toujours disposer de suffisamment de sauvegardes pour effectuer une restauration complète de la forêt. Enfin, il convient d'éviter les restaurations à l'état brut et les restaurations de l'état du système lors de la reprise après une cyberattaque, car ces approches comportent de graves problèmes sous-jacents, notamment la possibilité probable d'une réinfection par un logiciel malveillant.
Comme le démontre Zerologon, il est temps pour les entreprises de se pencher sérieusement sur la sécurité d'Active Directory. Un attaquant motivé trouvera toujours un moyen d'entrer d'une manière ou d'une autre. Ne laissez pas AD devenir une cible facile.
