Zerologon : le correctif de février va bloquer les connexions non sécurisées
La faille Zerologon avait créé la panique en août dernier puisqu'elle est critique et touche directement l'Active Directory. Pour se débarrasser de cette vulnérabilité définitivement, Microsoft va déployer un nouveau correctif en février pour désactiver la prise en charge des connexions non sécurisées sur les contrôleurs de domaine.
Quelque temps après l'annonce de la faille Zerologon, Microsoft avait signalé une augmentation des attaques qui s'appuyaient sur ce vecteur. En fait, le correctif publié initialement n'est pas suffisant pour se protéger de la faille Zerologon. En vérité, il y a quatre étapes à suivre pour en venir à bout.
La firme de Redmond va passer à la vitesse supérieure à compter du 9 février 2021. En effet, un correctif sera intégré au prochain Patch Tuesday pour supprimer la prise en charge des connexions non sécurisées sur les contrôleurs de domaine effectuées via Netlogon. Autrement dit, toutes les machines devront utiliser une version sécurisée du RPC dans un canal Netlogon.
Pour rappel, la faille critique Zerologon affecte directement l'Active Directory et les contrôleurs de domaine. Elle se situe au niveau du protocole Netlogon Remote Protocol (MS-NRPC) et permet à un attaquant d'effectuer une élévation de privilèges sur un contrôleur de domaine. Cette élévation de privilèges est possible sans être authentifié auprès du contrôleur de domaine, ce qui rend la vulnérabilité particulièrement dangereuse. Ensuite, l'attaquant peut prendre le contrôle de votre serveur Active Directory. La faille Zerologon est identifiée sous le nom CVE-2020-1472 et touche toutes les versions de Windows Server.
Pour protéger son infrastructure contre la faille Zerologon, Microsoft a indiqué (depuis août) les quatre étapes à suivre :
1 - Appliquer les mises à jour d'Août 2020 (au minimum) sur ses contrôleurs de domaine
- Windows Server v2004 : KB4566782
- Windows Server v1909 : KB4565351
- Windows Server v1903 : KB4565351
- Windows Server 2019 : KB4565349
- Windows Server 2016 : KB4571694
- Windows Server 2012 R2 : KB4571723
- Windows Server 2012 : KB4571702
2 - Identifier les équipements qui utilisent actuellement des connexions non sécurisées. Comme l'explique Microsoft, sur les contrôleurs de domaine patchés il faut rechercher les événements avec l'ID 5829. Pour vous faciliter la tâche, vous pouvez utiliser le script PowerShell (qui nécessite Excel) fourni par Microsoft et qui va analyser l'observateur d'événement et générer un export.
3 - Analyser les équipements identifiés. Microsoft précise que tous les systèmes actuellement sous support sont capables d'effectuer des connexions MS-NRPC sécurisées. Pour les systèmes et équipements tiers, il faut se rapprocher des éditeurs si nécessaire.
4 - Activer le mode "Domain Controller enforcement" sur son environnement pour se protéger de la faille Zerologon.
Jusqu'au 09 février 2021, vous avez encore la main pour activer ou non ce mode. Ensuite, lorsque les correctifs de février seront déployés sur vos serveurs contrôleur de domaine, ce mode sera automatiquement activé.
Pour anticiper, vous pouvez activer ce mode dès à présent dans le but de réaliser des essais et d'identifier les éventuels appareils qui vont poser problème.
? Pour activer le mode "Domain Controller enforcement", il est nécessaire de créer et configurer la valeur suivante dans le Registre Windows de tous les contrôleurs de domaine : FullSecureChannelProtection. Avec la valeur "1", le mode sera actif et vous êtes protégé contre la faille Zerologon. A l'inverse, la valeur "0" permet de faire machine arrière. Cette valeur REG_DWORD doit être créée à l'emplacement suivant :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
S'il y a des machines sur votre réseau qui ont besoin de continuer à établir une connexion non sécurisée, vous devez créer une GPO en complément. Cette GPO doit activer le paramètre "Domain controller: Allow vulnerable Netlogon secure channel connections" qui se situe à l'emplacement suivant : Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options. Dans ce paramètre, vous pouvez spécifier un groupe qui contiendra les objets autorisés à établir des connexions non sécurisées. Bien sûr, l'objectif à terme est de supprimer cette exception.
Bon courage et prenez cette vulnérabilité au sérieux ?