Le CERT-FR a actualisé son bulletin d’alerte relatif à Zerologon. Il a ajouté des informations d’aide à la détection.
En toile de fond, la multiplication des codes d’exploitation de cette faille qui touche les contrôleurs de domaines Active Directory à travers le protocole d’authentification Netlogon.
Pour repérer une éventuelle attaque, on portera attention à un événement en particulier dans les journaux système. Son identifiant : 4272. Son intitulé : « Un compte d’ordinateur a été modifié ».
Il est probablement lié à Netlogon si :
Autre indice possible : l’événement 5805. Il indique un accès refusé de Netlogon.
Si une attaque réussit, on constatera probablement les actions suivantes :
Les contrôleurs de domaines sont des systèmes névralgiques, rappelle le CERT-FR (rattaché à l’ANSSI). À ce titre, ils « ne doivent, en aucun cas, être accessibles directement depuis Internet ».
Aux États-Unis, la Cybersecurity and Infrastructure Security Agency a émis une directive d’urgence vendredi dernier. L’agence, qui dépend du département de la Sécurité intérieure, a donné jusqu’à ce 23 septembre minuit aux organes de l’administration fédérale pour installer le correctif que Microsoft a publié le 11 août dernier.
Illustration © Kentoh – shutterstock.com
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…