Qu¡¯est-ce que Zerologon??
Brisez vos silos de s¨¦curit¨¦ et am¨¦liorez vos d¨¦fenses gr?ce ¨¤ la puissance d'une plateforme de cybers¨¦curit¨¦ unique.
Zerologon est une vuln¨¦rabilit¨¦ dans la cryptographie du processus Netlogon de Microsoft qui permet une attaque contre les contr?leurs de domaine Microsoft Active Directory. Zerologon permet ¨¤ un pirate de se faire passer pour n¡¯importe quel ordinateur, y compris le contr?leur de domaine racine.
Zerologon
Zerologon est le nom donn¨¦ ¨¤ une vuln¨¦rabilit¨¦ identifi¨¦e dans CVE-2020-1472. Elle provient d'une faille dans le processus d'ouverture de session?: Le vecteur d'initialisation (IV) est toujours d¨¦fini sur tous les z¨¦ros, alors qu'un IV devrait toujours ¨ºtre un nombre al¨¦atoire.
La gravit¨¦ de cette dangereuse vuln¨¦rabilit¨¦ a ¨¦t¨¦ not¨¦e 10 sur 10 (CVSS v3.1) par le Common Vulnerability Scoring System (CVSS). Il existe des exploits de preuve de concept (POC) actifs connus. Il est tr¨¨s probable que nous assistions bient?t ¨¤ des attaques dans le monde r¨¦el.
La Cybersecurity and Infrastructure Security Agency a ¨¦mis une directive d¡¯urgence, ordonnant aux agences f¨¦d¨¦rales civiles de cr¨¦er imm¨¦diatement un correctif ou de d¨¦sactiver tous les serveurs Windows affect¨¦s, et a indiqu¨¦ aux organisations non gouvernementales d¡¯en faire de m¨ºme. Microsoft a publi¨¦ un premier correctif en ao?t?2020, qui doit ¨ºtre appliqu¨¦ ¨¤ tous les contr?leurs de domaine.
Cette vuln¨¦rabilit¨¦ exploite une faille cryptographique dans le protocole MS-NRPC (Active Directory Netlogon Remote Protocol) de Microsoft. Elle permet aux utilisateurs de se connecter ¨¤ des serveurs qui utilisent NT LAN Manager (NTLM).?
Le principal probl¨¨me avec cette vuln¨¦rabilit¨¦ est que le MS-NRPC est ¨¦galement utilis¨¦ pour transmettre certaines modifications de compte, comme les mots de passe de compte de service informatique. En repensant ¨¤ son origine, il est possible de voir la raison d'¨ºtre de l'ajout de cette fonctionnalit¨¦. Toutefois, l'absence de validation de la source de la demande de modification de ces mots de passe est devenue un probl¨¨me de s¨¦curit¨¦ important.
Il y a pire encore. Le chiffrement qui a ¨¦t¨¦ ajout¨¦ au MS-NRPC n¡¯a pas ¨¦t¨¦ choisi judicieusement. En 1883, Auguste Kerckhoffs, cryptologue n¨¦erlandais, a publi¨¦ deux?essais intitul¨¦s?La Cryptographie Militaire (Military Cryptography), qui expose les six principes essentiels li¨¦s ¨¤ la conception de syst¨¨mes cryptographiques.?
Le plus connu d'entre eux, le principe de Kerckhoff, stipule que nous devons garder notre cl¨¦ cryptographique secr¨¨te. Et nous ne devons pas compter sur le secret de l'algorithme pour prot¨¦ger nos donn¨¦es, mais utiliser des algorithmes bien connus, bien test¨¦s, bien ¨¦prouv¨¦s.
L¡¯algorithme utilis¨¦ ¨¤ l¡¯origine pour chiffrer le processus de connexion dans Windows?NT ¨¦tait 2DES, dont nous savons ¨¤ pr¨¦sent qu'il comporte des probl¨¨mes. Aujourd'hui, le MS-NRPC utilise l¡¯Advanced Encryption Standard (AES), consid¨¦r¨¦ comme la r¨¦f¨¦rence du chiffrement.?
En plus de choisir un algorithme, solide et ¨¦prouv¨¦, il convient de s¨¦lectionner d'autres param¨¨tres pour assurer la r¨¦sistance ad¨¦quate. Le MS-NRPC utilise un param¨¨tre obscur nomm¨¦ Advanced Encryption Standard ¨C Cipher Feed Back 8bit (AES-CFB8). L¡¯AES-CFB8 est obscur, car il n¡¯est pas bien connu ni bien test¨¦.?
L¡¯utilisation de l¡¯AES-CFB8 avec le MS-NRPC comporte un probl¨¨me au niveau du vecteur d¡¯initialisation qui doit ¨ºtre un nombre al¨¦atoire, mais que le MS-NRPC a fix¨¦ ¨¤ une valeur de 16?octets de z¨¦ros. Cette valeur est tout sauf al¨¦atoire. Elle est pr¨¦visible. La pr¨¦visibilit¨¦ est souvent nuisible en cryptographie.
Comment nous connaissons cette vuln¨¦rabilit¨¦
Cette vuln¨¦rabilit¨¦ a ¨¦t¨¦ annonc¨¦e en septembre?2020 par Tom Tervoort, un chercheur n¨¦erlandais travaillant pour Secura. Un correctif a ¨¦t¨¦ publi¨¦ pour corriger la vuln¨¦rabilit¨¦ en ao?t, mais ce n¡¯est que lorsque le chercheur a publi¨¦ son rapport en septembre que nous avons commenc¨¦ ¨¤ voir des POC et autres activit¨¦s.?
L'article de Tervoort d¨¦taille sa d¨¦couverte et le processus qui y a conduit. Au cours de ses recherches, il a remarqu¨¦ un manque important d¡¯informations sur le MS-NRPC. Intrigu¨¦, M. Tervoort a cherch¨¦ d'autres informations.?
Il cherchait initialement une attaque de l'homme du milieu, mais a finalement d¨¦couvert une autre vuln¨¦rabilit¨¦ d¨¦taill¨¦e dans le CVE-2020-1424. En poursuivant ses recherches, il a identifi¨¦ ce que l¡¯on conna?t d¨¦sormais sous le nom de Zerologon.?
La partie essentielle de sa d¨¦couverte est que Microsoft a mis en place une variante de cryptographie unique, qui est diff¨¦rente de tous les autres protocoles RPC. ? l'¨¦poque de Windows NT, les comptes affect¨¦s ¨¤ un ordinateur n'¨¦taient pas identifi¨¦s comme un principal de premi¨¨re classe. Cela signifie que Microsoft ne pouvait pas utiliser les protocoles normalis¨¦s Kerberos ou NTLM pour authentifier les comptes d'ordinateur ou de machine.?
Les d¨¦veloppeurs ont donc cr¨¦¨¦ une autre solution. Il est extr¨ºmement difficile de cr¨¦er du code et des protocoles de chiffrement ind¨¦chiffrables. Le d¨¦lai avant que les failles ne soient d¨¦couvertes est m¨ºme incroyablement long, comme dans le cas pr¨¦sent.
Comment l'attaque fonctionne
Cette vuln¨¦rabilit¨¦ permet ¨¤ un pirate de prendre le contr?le d'un contr?leur de domaine (DC), y compris le DC racine.?Ceci est r¨¦alis¨¦ en modifiant ou en supprimant le mot de passe d'un compte de service sur le contr?leur. Le pirate peut ensuite causer simplement un d¨¦ni de service ou s¡¯emparer de la totalit¨¦ du r¨¦seau.
Pour que les assaillants puissent exploiter cette vuln¨¦rabilit¨¦, ils doivent ¨ºtre en mesure d'¨¦tablir une session de protocole de contr?le de transmission (TCP) avec un DC.?S'ils sont physiquement ¨¤ l'int¨¦rieur du r¨¦seau, ils peuvent se trouver sur le bureau d'un utilisateur ou sur un port ouvert dans un endroit tel qu'une salle de conf¨¦rence.?
Ces exploits sont qualifi¨¦s d¡¯attaques d¡¯initi¨¦, les plus ch¨¨res pour une entreprise actuellement. Ils peuvent ¨ºtre ¨¦tablis depuis l¡¯ext¨¦rieur du r¨¦seau. Il leur suffit d¡¯avoir un point d¡¯entr¨¦e, quel qu¡¯il soit, pour ¨¦tablir la session TCP avec le contr?leur.
En utilisant l¡¯AES-CFB8 avec un IV fixe de 16?octets de z¨¦ros, Tervoort a d¨¦couvert qu¡¯il existait une probabilit¨¦ qu¡¯une cl¨¦ sur 256 cr¨¦e du texte chiffr¨¦ ne comportant que des z¨¦ros. Cette probabilit¨¦ est bien trop ¨¦lev¨¦e face ¨¤ un assaillant qui essaie de chiffrer du texte ne comportant que des z¨¦ros. L¡¯ordinateur du pirate informatique n¡¯aurait besoin que de 2 ¨¤ 3?secondes, au maximum, pour y parvenir.?
Alors, pourquoi est-ce important??
Si la machine qui communique avec un DC appartient ¨¤ un utilisateur qui se livre ¨¤ ses activit¨¦s habituelles, aucun probl¨¨me ne se pose. Le texte chiffr¨¦ est mal con?u, mais le processus d¡¯authentification r¨¦seau fonctionne. Le probl¨¨me ne survient que lorsqu¡¯un pirate informatique essaie d¡¯exploiter le syst¨¨me.
Dans l¡¯attaque prouv¨¦e par M. Tervoort, le pirate informatique doit d'abord usurper les informations d¡¯authentification ou le mot de passe d¡¯un client sur le r¨¦seau. En raison de la mauvaise impl¨¦mentation de l¡¯IV dans le MS-NRPC, il ne faut qu¡¯environ 256?tentatives pour r¨¦ussir.?
En g¨¦n¨¦ral, le compte d¡¯un utilisateur se verrouille apr¨¨s trois tentatives de saisie de mot de passe, mais cela n¡¯est pas le cas pour le compte d¡¯un ordinateur ou d'une machine. Lorsqu¡¯un ordinateur se connecte, aucune limite n¡¯est d¨¦finie sur le nombre de tentatives de saisie de mot de passe, ce qui permet d¡¯effectuer une salve de tentatives en continu sur une courte dur¨¦e, pour permettre aux pirates d¡¯entrer. Ils doivent trouver l¡¯une des cl¨¦s qui produit un texte de chiffrement compos¨¦ uniquement de z¨¦ros.
Que peuvent faire les pirates une fois qu¡¯ils ont usurp¨¦ l¡¯identit¨¦ d¡¯un ordinateur sur le r¨¦seau?? Une fois cette premi¨¨re ¨¦tape d¡¯usurpation d¡¯une identit¨¦ accomplie, l¡¯assaillant ne conna?t pas la cl¨¦ de chiffrement r¨¦elle de la session. Les assaillants n¡¯ont pu usurper leur identit¨¦ qu¡¯en tombant sur l¡¯une des 256?cl¨¦s qui produit un texte de chiffrement compos¨¦ uniquement de z¨¦ros. L'¨¦tape suivante consiste ¨¤ d¨¦sactiver le ??signing et sealing??.
Le signing et sealing RPC est le m¨¦canisme utilis¨¦ pour transporter le chiffrement dans le MS-NRPC. Cela semble ¨ºtre un processus logique puisque nous devrions crypter davantage de nos donn¨¦es en transit. Dans MS-NRPC, cependant, il s'agit d'une fonction facultative qui peut ¨ºtre d¨¦sactiv¨¦e simplement en n'activant pas un drapeau dans l'en-t¨ºte d'un message.?
Une fois les signing et sealing d¨¦sactiv¨¦s, les messages sont envoy¨¦s en clair. Les pirates pourraient prendre toutes les mesures qu'ils souhaitent, y compris supprimer un mot de passe ou lui attribuer une autre valeur. Microsoft publiera un correctif en f¨¦vrier?2021 pour rendre le signing et sealing obligatoire.
La troisi¨¨me ¨¦tape consiste ¨¤ modifier le mot de passe du compte victime de l¡¯usurpation. L'appareil le plus efficace ¨¤ usurper serait un serveur?AD, de pr¨¦f¨¦rence le serveur AD racine. Pour modifier le mot de passe, les assaillants utilisent le message NetServerPasswordSet2 dans MS-NRPC.?
Il est possible de modifier un mot de passe en envoyant simplement le cadre avec le nouveau mot de passe pr¨¦f¨¦r¨¦. L¡¯approche la plus simple consiste ¨¤ supprimer le mot de passe ou ¨¤ lui attribuer une valeur vide?:? le pirate peut alors se connecter gr?ce ¨¤ un processus normal.?
Si l¡¯attaque cible un ordinateur al¨¦atoire sur le r¨¦seau, cet ordinateur ne peut pas se connecter. La premi¨¨re cons¨¦quence de cette attaque est donc simplement une attaque par d¨¦ni de service contre cet ordinateur.
Impact global
Aujourd¡¯hui, plusieurs exploits PoC publics sont disponibles. Si les serveurs AD n¡¯ont pas re?u de correctif, les entreprises peuvent subir des d¨¦g?ts importants, car l¡¯attaque peut ¨ºtre utilis¨¦e pour injecter des ransomwares dans un r¨¦seau.?
Des outils permettent de v¨¦rifier si vos serveurs sont ¨¤ risque. M. Tervoort et Secura ont publi¨¦ un outil sur GitHub permettant de v¨¦rifier que vos contr?leurs de domaine sont dot¨¦s de correctifs, ou de d¨¦terminer s¡¯ils sont vuln¨¦rables.
Le correctif pour CVE-2020-1472
En ao?t?2020, Microsoft a publi¨¦ un correctif pour le CVE-2020-1472 (Zerologon). Tous les serveurs?AD (2008?R2 et versions sup¨¦rieures) doivent ¨ºtre dot¨¦s de correctifs d¨¨s que possible. Mais le d¨¦lai moyen entre la publication d'un correctif et son d¨¦ploiement reste trop long.?
Selon les chercheurs, dans une organisation moyenne, il faut entre 60 et 150?jours (environ 5?mois) apr¨¨s la publication d¡¯un correctif pour qu'il soit enfin install¨¦. C¡¯est ce que l¡¯on appelle le d¨¦lai moyen d'application de correctif, ou Mean Time to Patch (MTTP).?
De plus, malheureusement, le nouveau correctif n¡¯est pas universel. Microsoft pr¨¦voit de publier une deuxi¨¨me phase du correctif, qui comprendra des fonctionnalit¨¦s d'application, d¨¦but f¨¦vrier?2021.
Tous les appareils devront utiliser le mode de canal s¨¦curis¨¦?; dans le cas contraire, l'acc¨¨s leur sera refus¨¦. Les ¨¦ventuels appareils non conformes plus anciens devront ¨ºtre ajout¨¦s manuellement ¨¤ une politique de groupe, qui autorise explicitement l'acc¨¨s ¨¤ des appareils non conformes.
Correctifs virtuels
Il convient toujours d'appliquer des mesures de s¨¦curit¨¦ traditionnelles pour surveiller les comptes et les r¨¦seaux compromis, le trafic malveillant, et d'autres indicateurs de compromission. Les syst¨¨mes de d¨¦tection des intrusions (IPS) et les logiciels antimalware pour les appareils du r¨¦seau et h?tes (tous les endpoints), permettant de surveiller les ransomware, les virus et autres menaces, sont essentiels.?
Les journaux doivent ¨ºtre collect¨¦s, centralis¨¦s et analys¨¦s par un SIEM. Une fois les journaux analys¨¦s, des personnes et processus doivent ¨ºtre en place pour r¨¦agir aux indicateurs de compromission (IoC). Puis, une ¨¦quipe de r¨¦action aux incidents poss¨¦dant des proc¨¦dures et connaissances solides doit prendre la rel¨¨ve, pour d¨¦terminer l'¨¦tendue de la compromission et la r¨¦soudre.
Malgr¨¦ la disponibilit¨¦ d¡¯un correctif fournisseur, de nombreux clients ont encore besoin de temps pour le d¨¦ployer et impl¨¦menter des mesures de s¨¦curit¨¦ suppl¨¦mentaires pour prot¨¦ger leur environnement. Le concept d'application de correctifs virtuels via des outils comme IPS permet aux administrateurs et aux professionnels de la s¨¦curit¨¦ d'ajouter un outil ¨¤ leur arsenal.?
Cela permet de gagner un temps critique pour s¨¦curiser leurs r¨¦seaux. L'application de correctifs par les fournisseurs reste la mesure d'att¨¦nuation recommand¨¦e. Les solutions de correctifs virtuels aident ¨¤ prot¨¦ger les machines non corrig¨¦es. Dans de nombreux cas, elles fournissent ¨¦galement des informations pr¨¦cieuses sur les tentatives d'exploitation du r¨¦seau apr¨¨s l'application des correctifs, gr?ce ¨¤ des fonctions telles que l'inspection des journaux.
Cet article de la base de connaissances permet aux clients Trend?Micro d¡¯en savoir plus sur les bonnes pratiques li¨¦es au traitement des vuln¨¦rabilit¨¦s, et sur la mani¨¨re dont nous pouvons les aider?:
Solution?Vision One Platform de live casino online
Une plateforme unique peut vous aider ¨¤ arr¨ºter les adversaires plus rapidement et ¨¤ contr?ler vos cyber-risques. G¨¦rez la s¨¦curit¨¦ de mani¨¨re globale gr?ce ¨¤ des fonctionnalit¨¦s compl¨¨tes de pr¨¦vention, de d¨¦tection et de r¨¦ponse aliment¨¦es par l¡¯IA, ainsi qu¡¯une recherche et une veille leaders sur les menaces.
Trend?Vision?One soutient les environnements IT hybrides diversifi¨¦es, automatise et orchestre les flux de travail, et fournit des services d¡¯experts en cybers¨¦curit¨¦. Vous pouvez ainsi simplifier et faire converger vos op¨¦rations de s¨¦curit¨¦.
Sujets sur Zerologon
Ressources connexes
Recherches associ¨¦es