Vulnérabilité Pour Netlogon - élevation des privilèges au niveau des Contrôleurs de Domaine
CVE-2020-1472 - CVSSv3 10
Sources
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2...
https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-chang...
https://www.kaspersky.com/blog/cve-2020-1472-domain-controller-vulnerabi...
https://www.tenable.com/cve/CVE-2020-1472
Risques
Un acteur malveillant non authentifié ayant accès au réseau peut se faire passer pour un contrôleur de domaine ou un ordinateur du domaine.
Cela donne à l'acteur malveillant certaines possibilités, parmi lesquelles le remplacement du mot de passe de l'ordinateur Active Directory par un mot de passe vide sur le contrôleur de domaine. Cela peut conduire à un déni de service et à l'obtention potentielle de privilèges d'administrateur sur le domaine.
Description
Le protocole Microsoft Windows Netlogon Remote Protocol (MS-NRPC) est un composant d'authentification de l'Active Directory qui authentifie les utilisateurs et les comptes d'ordinateurs. Il utilise un vecteur d'initialisation de valeur zéro prédéfini en mode AES-CFB8.
Lors du cryptage d'un message composé uniquement de zéros avec un vecteur d'initialisation zéro, il y a une chance sur 256 qu'un acteur malveillant puisse s'authentifier avec succès comme n'importe quel ordinateur relié au domaine. Cela permet d'usurper l'identité des contrôleurs de domaine et pourrait permettre à un acteur malveillant de modifier le mot de passe Active Directory et d'obtenir potentiellement des privilèges d'administrateur de domaine.
Pour abuser de cette vulnérabilité, un acteur malveillant devra d'abord avoir accès au réseau d'entreprise.
Actions recommandées
CERT.be recommande d'installer les dernières mises à jour pour les versions de Windows concernées. Elles se trouvent sur le portail officiel de Microsoft.