Pour gérer vos consentements :

Zerologon : alertes transatlantiques sur cette faille critique

Le CERT-FR a actualisé son bulletin d’alerte relatif à Zerologon. Il a ajouté des informations d’aide à la détection.

En toile de fond, la multiplication des codes d’exploitation de cette faille qui touche les contrôleurs de domaines Active Directory à travers le protocole d’authentification Netlogon.

Pour repérer une éventuelle attaque, on portera attention à un événement en particulier dans les journaux système. Son identifiant : 4272. Son intitulé : « Un compte d’ordinateur a été modifié ».
Il est probablement lié à Netlogon si :

  • le champ SubjectUserName a la valeur « ANONYMOUS LOGON » ;
  • le champ TargetUserName est le compte machine d’un contrôleur de domaine.

Autre indice possible : l’événement 5805. Il indique un accès refusé de Netlogon.

Si une attaque réussit, on constatera probablement les actions suivantes :

  • Un événement d’authentification distante réussie (4624) avec le compte machine compromis
  • Un deuxième événement 4742. Le signe d’un nouveau changement de mot de passe du compte machine. L’attaquant rétablit en fait le mot de passe initial, pour passer inaperçu.

Les contrôleurs de domaines sont des systèmes névralgiques, rappelle le CERT-FR (rattaché à l’ANSSI). À ce titre, ils « ne doivent, en aucun cas, être accessibles directement depuis Internet ».

Aux États-Unis, la Cybersecurity and Infrastructure Security Agency a émis une directive d’urgence vendredi dernier. L’agence, qui dépend du département de la Sécurité intérieure, a donné jusqu’à ce 23 septembre minuit aux organes de l’administration fédérale pour installer le correctif que Microsoft a publié le 11 août dernier.

Illustration © Kentoh – shutterstock.com

Recent Posts

La France a-t-elle les moyens de mesurer la menace ransomware ?

La France a-t-elle les outils pour évaluer la menace ransomware ? Éléments de réponse sous…

15 heures ago

Antitrust : Nextcloud rallie l’écosystème français contre Microsoft

Une dizaine d'entreprises françaises se liguent à la plainte que Nextcloud a déposée en début…

19 heures ago

Collaboratif : Jamespot étoffe son portefeuille avec Diapazone

L'éditeur logiciel français Jamespot ajoute la brique d'orchestration de réunions Diapazone à son offre collaborative…

3 jours ago

Gestion des secrets : pourquoi les équipes DevOps sont à la peine

Les pratiques DevOps de gestion des secrets d'une majorité d'organisations ne sont pas normalisées et…

4 jours ago

Visioconférence : qui sont les principaux fournisseurs ?

Qui sont les têtes d'affiche de la visioconférence et qu'attendre de leurs offres ? Éléments…

4 jours ago

Fargate : une nouvelle étape dans la transition Arm d’AWS

Le moteur serverless Fargate vient allonger la liste des services AWS exploitables avec les instances…

4 jours ago