Alertes

Vulnérabilité critique dans Microsoft Netlogon

Une vulnérabilité critique a été identifiée en août 2020 dans le service Microsoft Netlogon. Un attaquant distant non authentifié peut exploiter cette vulnérabilité lorsqu’il se connecte à un contrôleur de domaine en utilisant le protocole Netlogon Remote (MS-NRPC). Il peut ensuite provoquer une élévation de privilèges pouvant avoir pour conséquence l'accès à l'ensemble des ressources gérées par les domaines Active Directory.

Des codes d’exploitation ont été récemment publiés pour cette vulnérabilité (CVE-2020-1472 [Score CVSS v3 : 10]). Un correctif est disponible et il est recommandé de l’installer dans les plus brefs délais.

Des informations complémentaires sont disponibles dans le bulletin de l’ANSSI.

Trois exploits développés par la NSA ont été réécrits de sorte à affecter plus de systèmes

EternalChampion, EtnernalSynergy et EternalRomance sont trois exploits tirant parti des failles dans le protocole SMB (Server Message Block).

Elles ont été découvertes en mars 2017 et portent les références CVE-2017-0146 (exploitée par EternalChampion / EternalSynergy) et CVE-2017-0143 (exploitée par EternalRomance / EternalSynergy).

L’exploitation de ces failles permettrait à un attaquant non authentifié d’exécuter du code à travers l’envoi de messages spécialement conçus à un serveur Windows SMBv1.

Les codes permettant l’exploitation de ces vulnérabilités viennent d’être réécrits. Ils affectent maintenant tous les systèmes d’exploitation de Windows 2000 à Windows Serveur 2016.

Il est recommandé à l’ensemble des organisations de prendre connaissance du bulletin de sécurité MS17-010 publié par Microsoft.

Liens

TripWire
Heimdal Security
Github