Le CERT-FR a actualisé son bulletin d’alerte relatif à Zerologon. Il a ajouté des informations d’aide à la détection.
En toile de fond, la multiplication des codes d’exploitation de cette faille qui touche les contrôleurs de domaines Active Directory à travers le protocole d’authentification Netlogon.
Pour repérer une éventuelle attaque, on portera attention à un événement en particulier dans les journaux système. Son identifiant : 4272. Son intitulé : « Un compte d’ordinateur a été modifié ».
Il est probablement lié à Netlogon si :
Autre indice possible : l’événement 5805. Il indique un accès refusé de Netlogon.
Si une attaque réussit, on constatera probablement les actions suivantes :
Les contrôleurs de domaines sont des systèmes névralgiques, rappelle le CERT-FR (rattaché à l’ANSSI). À ce titre, ils « ne doivent, en aucun cas, être accessibles directement depuis Internet ».
Aux États-Unis, la Cybersecurity and Infrastructure Security Agency a émis une directive d’urgence vendredi dernier. L’agence, qui dépend du département de la Sécurité intérieure, a donné jusqu’à ce 23 septembre minuit aux organes de l’administration fédérale pour installer le correctif que Microsoft a publié le 11 août dernier.
Illustration © Kentoh – shutterstock.com
Les investissements mondiaux dans les technologies et services de transformation numérique progresseraient de plus de…
De Jeff Bezos (Amazon) à David Duffield (Workday), voici la liste Forbes des 20 personnalités…
Comment améliorer la sécurité de l'open source ? Éléments de réponse avec le plan d'action…
Après avoir annoncé la suspension de l'accord pour le rachat de Twitter, Elon Musk s'est…
Financer une nouvelle génération de start-up des technologies de cybersécurité, c'est l'objectif affiché par CyberArk…
Silicon.fr vous invite à Silicon Day Workplace, une journée dédiée aux enjeux de la Digital…