Le CERT-FR a actualisé son bulletin d’alerte relatif à Zerologon. Il a ajouté des informations d’aide à la détection.
En toile de fond, la multiplication des codes d’exploitation de cette faille qui touche les contrôleurs de domaines Active Directory à travers le protocole d’authentification Netlogon.
Pour repérer une éventuelle attaque, on portera attention à un événement en particulier dans les journaux système. Son identifiant : 4272. Son intitulé : « Un compte d’ordinateur a été modifié ».
Il est probablement lié à Netlogon si :
Autre indice possible : l’événement 5805. Il indique un accès refusé de Netlogon.
Si une attaque réussit, on constatera probablement les actions suivantes :
Les contrôleurs de domaines sont des systèmes névralgiques, rappelle le CERT-FR (rattaché à l’ANSSI). À ce titre, ils « ne doivent, en aucun cas, être accessibles directement depuis Internet ».
Aux États-Unis, la Cybersecurity and Infrastructure Security Agency a émis une directive d’urgence vendredi dernier. L’agence, qui dépend du département de la Sécurité intérieure, a donné jusqu’à ce 23 septembre minuit aux organes de l’administration fédérale pour installer le correctif que Microsoft a publié le 11 août dernier.
Illustration © Kentoh – shutterstock.com
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…