🚨 CVE-2020-1472 : Vulnérabilité Microsoft NetLogon

🚨 CVE-2020-1472 : Vulnérabilité Microsoft NetLogon

1 minute de lecture

Une vulnérabilité affecte le protocole Netlogon Remote Protocol et permet une élévation de privilèges.

Le protocole distant Netlogon (également appelé MS-NRPC) est une interface RPC utilisée exclusivement par des appareils joints à des domaines. MS-NRPC inclut une méthode d’authentification et une méthode pour établir un canal sécurisé Netlogon. Ces mises à jour appliquent le comportement de client Netlogon spécifié afin d’utiliser un RPC sécurisé avec un canal sécurisé Netlogon entre les ordinateurs membres et les contrôleurs de domaine Active Directory (AD).

Fonctionnement d'une connexion NetLogon

Si un utilisateur clique sur une pièce jointe malveillante, l’attaquant peut se retrouver administrateur de domaine. Quelques éclaircissements :

  1. L'attaquant peut devenir administrateur de domaine sans s'authentifier. L'attaquant n'a pas besoin d'un compte machine, mais seulement de la possibilité d'établir des connexions TCP avec le contrôleur de domaine.
  2. L'application du patch du 11 août à tous les DCs est suffisante pour arrêter cette voie d'exploitation pour devenir administrateur de domaine.
  3. Après l'application du correctif,  il y a un risque résiduel si les connexions RPC Netlogon non sécurisées sont autorisées

Liens :

⚠️ Pensez à surveiller les évènements 5827, 5828,5829,5830 et 5831, ou utilisez ce script.

Articles recommandés

Comment braquer une banque au 21e siècle ?
1 minute de lecture
Retrouver les adresses emails avec TheHarvester
2 minutes de lecture
Un malware dans des mises à jour de SolarWinds
1 minute de lecture
Cybersécurité : quand le chasseur devient la proie
2 minutes de lecture
La sécurisation des infrastructures de stockage
1 minute de lecture

RETOUR EN HAUT