{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Windows Server 2012","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2019 (Server Core installation)","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server, version 2004 (Server Core installation)","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2019","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2012 R2","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2016 (Server Core installation)","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2008 R2 for x64-based Systems Service Pack 1","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2012 (Server Core installation)","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server, version 1909 (Server Core installation)","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2016","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server 2012 R2 (Server Core installation)","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Windows Server, version 1903 (Server Core installation)","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"closed_at":"2021-03-11","content":"## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation) et suivre les informations\ncommuniqu\u00e9es par l'\u00e9diteur concernant le d\u00e9ploiement progressif de la\ns\u00e9curisation du protocole Netlogon \\[1\\].\n\n\u00a0\n\n------------------------------------------------------------------------\n\nLa mise \u00e0\u00a0jour d'un produit ou d'un logiciel est une op\u00e9ration d\u00e9licate\nqui doit \u00eatre men\u00e9e avec prudence. Il est notamment recommander\nd'effectuer des tests autant que possible. Des dispositions doivent\n\u00e9galement \u00eatre prises pour garantir la continuit\u00e9 de service en cas de\ndifficult\u00e9s lors de l'application des mises \u00e0 jour comme des correctifs\nou des changements de version.\n","cves":[{"name":"CVE-2020-1472","url":"https://www.cve.org/CVERecord?id=CVE-2020-1472"}],"links":[{"title":"[3]","url":"https://twitter.com/_dirkjan/status/1306280553281449985"},{"title":"[5] Billet de Microsoft","url":"https://msrc-blog.microsoft.com/2021/01/14/netlogon-domain-controller-enforcement-mode-is-enabled-by-default-beginning-with-the-february-9-2021-security-update-related-to-cve-2020-1472/"},{"title":"[4] Alerte CERT-FR concernant Samba configur\u00e9 comme contr\u00f4leur de domaine","url":"https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-021/"},{"title":"[2] Guide technique Microsoft concernant la mise en place de l'audit sur la gestion des comptes","url":"https://docs.microsoft.com/fr-fr/windows/security/threat-protection/auditing/event-4742"}],"reference":"CERTFR-2020-ALE-020","revisions":[{"description":"Version initiale","revision_date":"2020-09-15T00:00:00.000000"},{"description":"ajout des r\u00e8gles de prudence dans la section ad hoc","revision_date":"2020-09-15T00:00:00.000000"},{"description":"modification du score CVSS en coh\u00e9rence avec le score de base indiqu\u00e9 par Microsoft","revision_date":"2020-09-17T00:00:00.000000"},{"description":"ajout d'informations d'aide \u00e0 la d\u00e9tection","revision_date":"2020-09-21T00:00:00.000000"},{"description":"Compl\u00e9ment d'information sur l'exploitation active de la vuln\u00e9rabilit\u00e9","revision_date":"2020-09-24T00:00:00.000000"},{"description":"Mise \u00e0 jour des informations de d\u00e9tection","revision_date":"2020-09-25T00:00:00.000000"},{"description":"Rappel de la derni\u00e8re \u00e9tape de correction pr\u00e9vue pour le 09 f\u00e9vrier 2021","revision_date":"2021-01-20T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2021-03-11T00:00:00.000000"}],"risks":[{"description":"\u00c9l\u00e9vation de privil\u00e8ges"}],"summary":"<strong>\\[Mise \u00e0 jour du 20 janvier 2021\\]</strong>\n\nL'\u00e9diteur rappelle dans un billet de blog que la derni\u00e8re \u00e9tape de\ncorrection pour la vuln\u00e9rabilit\u00e9 CVE-2020-1472 aura lieu lors du *Patch\nTuesday* du 9 f\u00e9vrier 2021 \\[5\\].\n\n<strong>Il est donc imp\u00e9ratif d'avoir r\u00e9alis\u00e9 l'ensemble des \u00e9tapes pr\u00e9alables\navant cette date, conform\u00e9ment au guide de l'\u00e9diteur (\\[1\\]).</strong>\n\n\u00a0\n\n<strong>\\[Mise \u00e0 jour du 25 septembre 2020\\]</strong>\n\nL'\u00e9volution actuelle des m\u00e9thodes d'attaques diminue fortement les\ncapacit\u00e9s de d\u00e9tection \u00e0 l'aide des journaux d'\u00e9v\u00e8nements de Microsoft\nWindows. La section \"Informations d'aide \u00e0 la d\u00e9tection\" a \u00e9t\u00e9 mise \u00e0\njour.\n\n\u00a0\n\n<strong>\\[Mise \u00e0 jour du 24 septembre 2020\\]</strong>\n\nMicrosoft confirme l'exploitation de cette vuln\u00e9rabilit\u00e9 par des\nattaquants.\n\nLe CERT-FR rappelle qu'il est imp\u00e9ratif d'appliquer le correctif de\nl'\u00e9diteur <strong>sans d\u00e9lai sur tous les contr\u00f4leurs de domaine (DC, RODC)</strong>,\nainsi que de suivre les recommandations de l'\u00e9diteur concernant les\n\u00e9volutions \u00e0 venir pour renforcer la s\u00e9curit\u00e9 du protocole Microsoft\nNetlogon \\[1\\].\n\nMicrosoft Security Intelligence a par ailleurs publi\u00e9 des marqueurs\ntechniques de codes d'exploitation (voir ci-dessous, section\n\"Information d'aide \u00e0 la d\u00e9tection\").\n\nLe CERT-FR rappelle \u00e9galement que Samba, configur\u00e9 en contr\u00f4leur de\ndomaine, est potentiellement vuln\u00e9rable et qu'il convient de le\ns\u00e9curiser \u00e9galement sans d\u00e9lai \\[4\\].\n\n\u00a0\n\n<strong>\\[Mise \u00e0 jour du 21 septembre 2020\\]</strong>\n\nDes informations d'aide \u00e0 la d\u00e9tection sont consultables ci-dessous.\n\n\u00a0\n\n<strong>\\[version initiale\\]</strong>\n\n<strong>Le 11 ao\u00fbt 2020</strong>, Microsoft a publi\u00e9 un avis de s\u00e9curit\u00e9 concernant\nla correction d'une vuln\u00e9rabilit\u00e9 affectant le protocole Netlogon Remote\nProtocol.\n\nLe CERT-FR a \u00e9mis un avis le 12 ao\u00fbt 2020 ainsi que des bulletins\ninformant de la situation. Cette vuln\u00e9rabilit\u00e9, jug\u00e9e critique (score\nCVSS3 de 10 sur 10), concerne les diff\u00e9rentes versions de Microsoft\nWindows Server o\u00f9 le r\u00f4le ADDS (Active Directory Domain Services) est\ninstall\u00e9 et o\u00f9 le serveur joue le r\u00f4le de contr\u00f4leur de domaine. Cette\nvuln\u00e9rabilit\u00e9 peut ais\u00e9ment \u00eatre exploit\u00e9e par un acteur mal intentionn\u00e9\nayant un acc\u00e8s aux ports TCP ouverts par le service Netlogon.\n\nL'exploitation de cette vuln\u00e9rabilit\u00e9 peut entra\u00eener une \u00e9l\u00e9vation de\nprivil\u00e8ges sur les contr\u00f4leurs de domaine ayant pour cons\u00e9quence l'acc\u00e8s\n\u00e0 l'ensemble des ressources g\u00e9r\u00e9es par les domaines Active Directory. La\nmise \u00e0 jour de cette vuln\u00e9rabilit\u00e9 doit \u00eatre compl\u00e9t\u00e9e par plusieurs\nmodifications du syst\u00e8me d\u00e9taill\u00e9es dans un article publi\u00e9 par Microsoft\n\\[1\\].\n\n<strong>Des codes d'exploitation ont \u00e9t\u00e9 publi\u00e9s r\u00e9cemment sur Internet.</strong> Si\nvous n'avez pas d\u00e9ploy\u00e9 les correctifs mis \u00e0 disposition par l'\u00e9diteur\nle 11 ao\u00fbt 2020, il est n\u00e9cessaire de les appliquer sans d\u00e9lai et\nd'effectuer des contr\u00f4les du syst\u00e8me d'information afin de d\u00e9tecter une\n\u00e9ventuelle compromission, notamment en investiguant vos journaux\nsyst\u00e8mes et r\u00e9seaux afin d\u2019identifier les \u00e9ventuelles connexions\nill\u00e9gitimes et les possibles lat\u00e9ralisation par un ou plusieurs\nattaquants sur votre infrastructure.\n\nPar ailleurs, le CERT-FR rappelle que les contr\u00f4leurs de domaines, en\ntant que syst\u00e8mes n\u00e9vralgiques, ne doivent, en aucun cas, \u00eatre\naccessibles directement depuis internet.\n\nPour rappel :\n\n-   Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information :\n    </information/CERTA-2002-INF-002/>\n-   Le guide d\u2019hygi\u00e8ne informatique :\n    <https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf>\n\n------------------------------------------------------------------------\n\n#### Informations d'aide \u00e0 la d\u00e9tection\n\n<strong>\\[25 septembre 2020\\]</strong> IMPORTANT : Les informations ci-dessous\npermettent de d\u00e9tecter la m\u00e9thode d'attaque d\u00e9crite initialement par les\nchercheurs, qui consiste \u00e0 modifier le mot de passe du compte d'une\nmachine contr\u00f4leur de domaine. <strong>D'autres chemins d'attaque existent\nd\u00e9sormais qui ne produiront donc pas les m\u00eames \u00e9v\u00e8nements</strong>.\n\nIl est possible, dans certaines conditions, de d\u00e9tecter une tentative\nd'exploitation qui aurait pu subvenir avant application du correctif de\nMicrosoft, gr\u00e2ce aux journaux g\u00e9n\u00e9r\u00e9s par Windows.\n\nPour cela, la politique d'audit \"Gestion du compte \\> Auditer la gestion\ndes comptes d'ordinateur\" \\[2\\] doit \u00eatre activ\u00e9e sur les contr\u00f4leurs de\ndomaine. Les \u00e9v\u00e9nements \"Un compte d'ordinateur a \u00e9t\u00e9 modifi\u00e9\", dont\nl'identifiant est <strong>4742</strong>, sont ainsi g\u00e9n\u00e9r\u00e9s dans le journal de\ns\u00e9curit\u00e9.\n\nDe tels \u00e9v\u00e9nements sont g\u00e9n\u00e9r\u00e9s de mani\u00e8re l\u00e9gitime lorsqu'un compte\nd'ordinateur renouvelle son mot de passe. N\u00e9anmoins, l'attaque Zerologon\nconduit aux sp\u00e9cificit\u00e9s suivantes :\n\n-   le champ SubjectUserName est \"ANONYMOUS LOGON\" ;\n-   le champ TargetUserName est le compte machine d'un contr\u00f4leur de\n    domaine.\n\nSur certains SI, des \u00e9v\u00e9nements 4742 pourraient \u00eatre g\u00e9n\u00e9r\u00e9s avec le\nchamp SubjectUserName \u00e9gal \u00e0 \u00ab ANONYMOUS LOGON \u00bb. Bien que ce ne soit\npas le fonctionnement normal d'un SI, il n'est toutefois pas forc\u00e9ment\nr\u00e9v\u00e9lateur d'une attaque mais pourrait provenir d'un d\u00e9faut de\nconfiguration.\n\nLors des analyses du CERT-FR, des \u00e9v\u00e9nements avec l'identifiant <strong>5805</strong>\nindiquant un acc\u00e8s refus\u00e9 de Netlogon ont \u00e9galement \u00e9t\u00e9 identifi\u00e9s en\ncombinaison avec l'\u00e9v\u00e9nement 4742 pr\u00e9-cit\u00e9 mais uniquement lors de la\npremi\u00e8re attaque. Ces \u00e9v\u00e9nements se trouvent dans le journal \"syst\u00e8me\".\n\nIl est fort probable que suite \u00e0 une attaque r\u00e9ussie, un attaquant\ncherche \u00e0 r\u00e9aliser les actions suivantes qui peuvent \u00e9galement \u00eatre\nidentifi\u00e9es gr\u00e2ce aux journaux :\n\n-   l'attaquant pourrait utiliser le compte machine compromis pour mener\n    d'autres actions telles que DCSync. Un \u00e9v\u00e9nement d'authentification\n    distante r\u00e9ussi (<strong>4624</strong>) avec le compte machine compromis pourrait\n    avoir lieu ;\n-   l'attaquant pourrait changer une seconde fois le mot de passe du\n    compte machine, g\u00e9n\u00e9rant ainsi un second \u00e9v\u00e9nement <strong>4742</strong> pour\n    cette machine. En effet, le changement du mot de passe du compte\n    machine du contr\u00f4leur de domaine conduit g\u00e9n\u00e9ralement \u00e0\n    l'impossibilit\u00e9 pour d'autres services de s'authentifier aupr\u00e8s de\n    lui. Cet effet de bord est expliqu\u00e9 ici \\[3\\]. Dans un\n    fonctionnement normal, le mot de passe d'un compte machine n'est par\n    renouvel\u00e9 plusieurs fois en quelques heures.\n\nApr\u00e8s application du correctif publi\u00e9 le 11 ao\u00fbt par Microsoft, de\nnouveaux \u00e9v\u00e8nements sont disponibles afin de\u00a0 journaliser les demandes\nde connexion de machines via un Secure Channel vuln\u00e9rable \\[1\\].\n\n<strong>Le 24 septembre2020</strong>, Microsoft Security Intelligence a publi\u00e9 des\nmarqueurs techniques de codes d'exploitation (SHA-256) :\n\n>     b9088bea916e1d2137805edeb0b6a549f876746999fbb1b4890fb66288a59f9d\n>     24d425448e4a09e1e1f8daf56a1d893791347d029a7ba32ed8c43e88a2d06439\n>     c4a97815d2167df4bdf9bfb8a9351f4ca9a175c3ef7c36993407c766b57c805b\n>\n> \u00a0\n","title":"[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans Microsoft Netlogon","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Microsoft du 11 ao\u00fbt 2020","url":"https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472"},{"published_at":null,"title":"Bulletin CERT-FR CERTFR-2020-ACT-005 du 14 septembre 2020","url":"https://www.cert.ssi.gouv.fr/actualite/CERTFR-2020-ACT-005/"},{"published_at":null,"title":"avis CERT-FR CERTFR-2020-AVI-501 du 12 ao\u00fbt 2020","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-501/"},{"published_at":null,"title":"Bulletin CERT-FR CERTFR-2020-ACT-003 du 17 ao\u00fbt 2020","url":"https://www.cert.ssi.gouv.fr/actualite/CERTFR-2020-ACT-003/"},{"published_at":null,"title":"[1] Publication du Support Technique Microsoft du 14 ao\u00fbt 2020","url":"https://support.microsoft.com/kb/4557222"}]}