ZeroLogon - Les correctifs ne suffisent pas

Lignes directrices et outils pour protéger votre environnement
de CVE-2020-1472

By Yaron Kassner, CTO et co-fondateur, Silverfort

Secura a récemment publié un whitepaper à propos de l'une des pires vulnérabilités que j'ai vues depuis un moment. Il s'appelle ZeroLogon, alias CVE-2020-1472. Le DHS a également publié un directive d'urgence pour corriger les serveurs Windows concernés. Et ils n'exagèrent pas - la vulnérabilité permet à un attaquant de créer un compte d'administrateur de domaine, simplement en envoyant des paquets non authentifiés à un contrôleur de domaine. Cela signifie que n'importe qui dans le réseau peut prendre en charge l'ensemble du domaine.

Pour ceux qui s'intéressent aux bits et octets techniques, je recommande fortement de lire le livre blanc. L'attaque décrite est élégante et tire parti d'une vulnérabilité inhérente au protocole NRPC. Il s'avère que certaines personnes étaient tellement intéressées par cette attaque qu'elles ont développé une exploit de travail complet et l'a publié sur GitHub. Donc, si vous n'avez pas encore déployé la mise à jour, arrêtez de lire cet article et faites-le maintenant. Reviens après.

Comme pour la plupart des vulnérabilités, Microsoft a publié une consultatif, ainsi qu'une mise à jour de sécurité. Alors que certains pourraient être tentés d'installer la mise à jour et de l'oublier, le lecteur attentif remarquera ce commentaire : "Microsoft s'attaque à cette vulnérabilité dans le cadre d'un déploiement progressif."

Yap - ce n'est pas une bonne chose. Un déploiement progressif signifie que pendant la première phase du déploiement, votre système est toujours vulnérable. Une approche progressive a dû être adoptée dans ce cas car la vulnérabilité est inhérente au protocole NRPC. Le correctif empêche l'attaque en appliquant une couche de sécurité supplémentaire au-dessus du protocole, c'est-à-dire Secure RPC. Malheureusement, il ne suffit pas de mettre à jour le côté serveur, c'est-à-dire le DC, car les clients doivent également être mis à jour pour que le protocole fonctionne. Microsoft s'est occupé des appareils Windows, mais il n'a pas fourni de solution pour les systèmes d'exploitation hérités qui ne sont plus pris en charge ou les produits tiers. Cela signifie que l'application de Secure RPC cassera ces systèmes incompatibles.

Au cours de la première phase, AD applique un RPC sécurisé pour les appareils Windows, ce qui signifie que la pire forme d'attaque peut être évitée. Mais d'autres clients peuvent encore être vulnérables.

Nous avons développé une outil simple qui itère sur les contrôleurs de domaine de votre domaine et vérifie s'ils sont tous corrigés. L'outil est basé sur l'outil de test original publié par Secura mais au lieu de s'exécuter sur un DC à la fois, il trouvera automatiquement les DC et s'exécutera sur chacun d'eux. Nous vous recommandons d'exécuter cet outil pour vous assurer qu'aucun des contrôleurs de domaine de votre environnement n'a été oublié - un contrôleur de domaine non corrigé suffit à compromettre l'ensemble du domaine.

Téléchargez l'outil de test Github ici

Passer à la phase deux

Dans la deuxième phase, AD applique un RPC sécurisé pour tous les ordinateurs, y compris les périphériques non Windows. La deuxième phase se fera automatiquement le 2 février, mais vous pouvez la démarrer plus tôt, et nous vous recommandons de le faire. Pour ce faire, vous devez d'abord vous assurer que vous n'avez aucun client sur le réseau qui s'appuie sur des RPC non sécurisés. Microsoft fournit des journaux d'audit pour découvrir ces clients et Silverfort peuvent également vous aider : vous pouvez tirer parti Silverfort pour préparer un rapport qui répertorie les clients qui utilisent RPC non sécurisé. Si vous n'avez pas Silverfort, vous pouvez commencer par auditer les journaux d'événements de Microsoft.

Que faire des clients RPC non sécurisés ?

Voici ma recommandation. Tout d'abord, mettez-les dans "Contrôleur de domaine : Autoriser les connexions de canal sécurisé Netlogon vulnérables" stratégie de groupe. Cela ne sécurise pas ces clients, mais cela vous permettra de faire passer le reste des appareils en mode d'application maintenant, au lieu d'attendre février 2021.

Une fois que vous avez déplacé le reste des appareils en mode d'application, vous devez vous occuper des clients RPC non sécurisés. Ne les laissez pas tels quels ! Ils sont vulnérables !

Si ces appareils sont des appareils tiers, vous devez contacter le fournisseur et demander une solution pour les faire fonctionner avec Secure RPC.
Si, pour une raison quelconque, vous ne parvenez pas à faire fonctionner le client avec Secure RPC, Silverfort peut aider à le protéger – voir plus ci-dessous.

Comment pouvez- Silverfort De l'aide jusqu'à ce que tous les clients RPC non sécurisés soient couverts ?

Silverfort surveille et contrôle le trafic Netlogon sur le réseau. Ceci permet Silverfort pour détecter tous les ordinateurs utilisant des RPC non sécurisés. Pour ces appareils, Silverfort peut augmenter le risque et fournir des niveaux de sécurité supplémentaires, comme l'intensification de la authentification exigences vers ou depuis ces appareils.

Résumant donc les étapes recommandées :

1. Mettez à jour vos contrôleurs de domaine
2. Utiliser Silverfortl'outil open source de pour voir s'il reste des contrôleurs de domaine non corrigés
3. Utiliser Silverfort ou Microsoft pour l'audit des clients utilisant des RPC non sécurisés
4. Mettez les clients RPC non sécurisés dans la liste d'autorisation
5. Déplacez le domaine en mode d'application dès que possible
6. Lancez un processus pour réparer les clients RPC non sécurisés ou supprimez-les de votre réseau
7. En attendant, utilisez Silverfort pour protéger les clients vulnérables contre l'exploitation et limiter leur utilisation.

Yaron Kassner, CTO et co-fondateur, Silverfort

SilverfortCTO et co-fondateur de Yaron Kassner est un expert de la cybersécurité et des technologies du Big Data. Avant de co-fonder Silverfort, Yaron a été consultant expert en Big Data pour Cisco. Il a également développé de nouvelles capacités impliquant l'analyse de données volumineuses et des algorithmes d'apprentissage automatique chez Microsoft. Avant cela, Yaron a servi dans l'unité cybernétique d'élite 8200 des Forces de défense israéliennes, où il a dirigé une équipe de R&D réputée, a été élevé au rang de capitaine et a reçu un prestigieux prix d'excellence. Yaron est titulaire d'un B.Sc. en mathématiques, Summa Cum Laude, un M.Sc. et doctorat. en informatique du Technion - Institut israélien de technologie.