Coup de tocsin sur les serveurs Windows contrôleurs de domaine

Branle-bas de combat dans les Cert nationaux. Les Cert-FR et Cert-EU, entre autres, ont coup sur coup lancé l’alerte ce 15 septembre après qu’ont été rendus publics les premiers démonstrateurs d’exploitation de la vulnérabilité CVE-2020-1472.

Microsoft avait commencé à battre le rappel le 11 août dernier, à l’occasion de la diffusion des correctifs pour Windows Server, à partir de 2008 R2 pour systèmes x64. Comme le rappelle le Cert-FR dans sa note d’alerte, cette vulnérabilité touche au protocole Netlogon Remote Protocol et concerne les systèmes Windows Server jouant un rôle de contrôleur de domaine : « cette vulnérabilité peut aisément être exploitée par un acteur mal intentionné ayant un accès aux ports TCP ouverts par le service Netlogon. L’exploitation de cette vulnérabilité peut entraîner une élévation de privilèges sur les contrôleurs de domaine, ayant pour conséquence l’accès à l’ensemble des ressources gérées par les domaines Active Directory ». Autrement dit, de quoi donner aisément à l’assaillant toutes les clés du royaume.

En fait, Secura avait publié le 10 septembre un script Python permettant de vérifier la vulnérabilité de ses systèmes à l’exploitation de CVE-2020-1472. Il n’aura fallu attendre que quelques jours avant que ce travail ne soit détourné pour produire un script malicieux d’exploitation de la vulnérabilité.

Sur LinkedIn, Jérôme Saiz, consultant en cybersécurité et fondateur d’Opfor Intelligence, résume la menace sommairement, mais efficacement : « C’est exactement ce que recherchent tous les [opérateurs de ransomware] que l’on croise en réponse à incidents, et il n’y a aucune raison qu’ils se privent de cette aubaine ». Laquelle peut sensiblement simplifier et accélérer, pour eux, la prise de contrôle de l’environnement.

Pas de doute, donc : il y a plus qu’urgence à intervenir pour ne pas venir allonger trop aisément la liste des victimes de rançongiciels.