Pour gérer vos consentements :

Zerologon : alertes transatlantiques sur cette faille critique

Le CERT-FR a actualisé son bulletin d’alerte relatif à Zerologon. Il a ajouté des informations d’aide à la détection.

En toile de fond, la multiplication des codes d’exploitation de cette faille qui touche les contrôleurs de domaines Active Directory à travers le protocole d’authentification Netlogon.

Pour repérer une éventuelle attaque, on portera attention à un événement en particulier dans les journaux système. Son identifiant : 4272. Son intitulé : « Un compte d’ordinateur a été modifié ».
Il est probablement lié à Netlogon si :

  • le champ SubjectUserName a la valeur « ANONYMOUS LOGON » ;
  • le champ TargetUserName est le compte machine d’un contrôleur de domaine.

Autre indice possible : l’événement 5805. Il indique un accès refusé de Netlogon.

Si une attaque réussit, on constatera probablement les actions suivantes :

  • Un événement d’authentification distante réussie (4624) avec le compte machine compromis
  • Un deuxième événement 4742. Le signe d’un nouveau changement de mot de passe du compte machine. L’attaquant rétablit en fait le mot de passe initial, pour passer inaperçu.

Les contrôleurs de domaines sont des systèmes névralgiques, rappelle le CERT-FR (rattaché à l’ANSSI). À ce titre, ils « ne doivent, en aucun cas, être accessibles directement depuis Internet ».

Aux États-Unis, la Cybersecurity and Infrastructure Security Agency a émis une directive d’urgence vendredi dernier. L’agence, qui dépend du département de la Sécurité intérieure, a donné jusqu’à ce 23 septembre minuit aux organes de l’administration fédérale pour installer le correctif que Microsoft a publié le 11 août dernier.

Illustration © Kentoh – shutterstock.com

Recent Posts

Cloud : Cigref et CISPE montent au créneau

Le Cigref et les fournisseurs cloud du CISPE définissent dix principes pour en finir avec…

11 heures ago

Jaguar Network : un nouvel allié pour Scality sur le « stockage objet souverain »

Après 3DS Outscale, Jaguar Network intègre la technologie Scality à son catalogue, au travers de…

12 heures ago

IBM : Kyndryl sera la spin-off de services gérés d’infrastructure

Kyndryl. C'est le nom de la société distincte d'IBM qui proposera des services managés d'infrastructure…

14 heures ago

Mozilla restructure aussi sur la reconnaissance vocale

Mozilla change de braquet sur la reconnaissance vocale. Entre le moteur DeepSpeech et l'initiative Common…

17 heures ago

Serveurs Arm : Grace, le chaînon manquant de NVIDIA ?

Dix ans après Project Denver, NVIDIA relance une offensive dans les SoC pour serveurs. Son…

20 heures ago

SIRH : Cegid croque Talentsoft

Pépite de la French Tech et longtemps aspirante au statut de Licorne, Talensoft est rachetée…

1 jour ago