CERTFR-2020-ALE-020
Vulnerability from certfr_alerte

[Mise à jour du 20 janvier 2021]

L'éditeur rappelle dans un billet de blog que la dernière étape de correction pour la vulnérabilité CVE-2020-1472 aura lieu lors du Patch Tuesday du 9 février 2021 [5].

Il est donc impératif d'avoir réalisé l'ensemble des étapes préalables avant cette date, conformément au guide de l'éditeur ([1]).

[Mise à jour du 25 septembre 2020]

L'évolution actuelle des méthodes d'attaques diminue fortement les capacités de détection à l'aide des journaux d'évènements de Microsoft Windows. La section "Informations d'aide à la détection" a été mise à jour.

[Mise à jour du 24 septembre 2020]

Microsoft confirme l'exploitation de cette vulnérabilité par des attaquants.

Le CERT-FR rappelle qu'il est impératif d'appliquer le correctif de l'éditeur sans délai sur tous les contrôleurs de domaine (DC, RODC), ainsi que de suivre les recommandations de l'éditeur concernant les évolutions à venir pour renforcer la sécurité du protocole Microsoft Netlogon [1].

Microsoft Security Intelligence a par ailleurs publié des marqueurs techniques de codes d'exploitation (voir ci-dessous, section "Information d'aide à la détection").

Le CERT-FR rappelle également que Samba, configuré en contrôleur de domaine, est potentiellement vulnérable et qu'il convient de le sécuriser également sans délai [4].

[Mise à jour du 21 septembre 2020]

Des informations d'aide à la détection sont consultables ci-dessous.

[version initiale]

Le 11 août 2020, Microsoft a publié un avis de sécurité concernant la correction d'une vulnérabilité affectant le protocole Netlogon Remote Protocol.

Le CERT-FR a émis un avis le 12 août 2020 ainsi que des bulletins informant de la situation. Cette vulnérabilité, jugée critique (score CVSS3 de 10 sur 10), concerne les différentes versions de Microsoft Windows Server où le rôle ADDS (Active Directory Domain Services) est installé et où le serveur joue le rôle de contrôleur de domaine. Cette vulnérabilité peut aisément être exploitée par un acteur mal intentionné ayant un accès aux ports TCP ouverts par le service Netlogon.

L'exploitation de cette vulnérabilité peut entraîner une élévation de privilèges sur les contrôleurs de domaine ayant pour conséquence l'accès à l'ensemble des ressources gérées par les domaines Active Directory. La mise à jour de cette vulnérabilité doit être complétée par plusieurs modifications du système détaillées dans un article publié par Microsoft [1].

Des codes d'exploitation ont été publiés récemment sur Internet. Si vous n'avez pas déployé les correctifs mis à disposition par l'éditeur le 11 août 2020, il est nécessaire de les appliquer sans délai et d'effectuer des contrôles du système d'information afin de détecter une éventuelle compromission, notamment en investiguant vos journaux systèmes et réseaux afin d’identifier les éventuelles connexions illégitimes et les possibles latéralisation par un ou plusieurs attaquants sur votre infrastructure.

Par ailleurs, le CERT-FR rappelle que les contrôleurs de domaines, en tant que systèmes névralgiques, ne doivent, en aucun cas, être accessibles directement depuis internet.

Pour rappel :

Informations d'aide à la détection

[25 septembre 2020] IMPORTANT : Les informations ci-dessous permettent de détecter la méthode d'attaque décrite initialement par les chercheurs, qui consiste à modifier le mot de passe du compte d'une machine contrôleur de domaine. D'autres chemins d'attaque existent désormais qui ne produiront donc pas les mêmes évènements.

Il est possible, dans certaines conditions, de détecter une tentative d'exploitation qui aurait pu subvenir avant application du correctif de Microsoft, grâce aux journaux générés par Windows.

Pour cela, la politique d'audit "Gestion du compte > Auditer la gestion des comptes d'ordinateur" [2] doit être activée sur les contrôleurs de domaine. Les événements "Un compte d'ordinateur a été modifié", dont l'identifiant est 4742, sont ainsi générés dans le journal de sécurité.

De tels événements sont générés de manière légitime lorsqu'un compte d'ordinateur renouvelle son mot de passe. Néanmoins, l'attaque Zerologon conduit aux spécificités suivantes :

  • le champ SubjectUserName est "ANONYMOUS LOGON" ;
  • le champ TargetUserName est le compte machine d'un contrôleur de domaine.

Sur certains SI, des événements 4742 pourraient être générés avec le champ SubjectUserName égal à « ANONYMOUS LOGON ». Bien que ce ne soit pas le fonctionnement normal d'un SI, il n'est toutefois pas forcément révélateur d'une attaque mais pourrait provenir d'un défaut de configuration.

Lors des analyses du CERT-FR, des événements avec l'identifiant 5805 indiquant un accès refusé de Netlogon ont également été identifiés en combinaison avec l'événement 4742 pré-cité mais uniquement lors de la première attaque. Ces événements se trouvent dans le journal "système".

Il est fort probable que suite à une attaque réussie, un attaquant cherche à réaliser les actions suivantes qui peuvent également être identifiées grâce aux journaux :

  • l'attaquant pourrait utiliser le compte machine compromis pour mener d'autres actions telles que DCSync. Un événement d'authentification distante réussi (4624) avec le compte machine compromis pourrait avoir lieu ;
  • l'attaquant pourrait changer une seconde fois le mot de passe du compte machine, générant ainsi un second événement 4742 pour cette machine. En effet, le changement du mot de passe du compte machine du contrôleur de domaine conduit généralement à l'impossibilité pour d'autres services de s'authentifier auprès de lui. Cet effet de bord est expliqué ici [3]. Dans un fonctionnement normal, le mot de passe d'un compte machine n'est par renouvelé plusieurs fois en quelques heures.

Après application du correctif publié le 11 août par Microsoft, de nouveaux évènements sont disponibles afin de  journaliser les demandes de connexion de machines via un Secure Channel vulnérable [1].

Le 24 septembre2020, Microsoft Security Intelligence a publié des marqueurs techniques de codes d'exploitation (SHA-256) :

b9088bea916e1d2137805edeb0b6a549f876746999fbb1b4890fb66288a59f9d
24d425448e4a09e1e1f8daf56a1d893791347d029a7ba32ed8c43e88a2d06439
c4a97815d2167df4bdf9bfb8a9351f4ca9a175c3ef7c36993407c766b57c805b

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation) et suivre les informations communiquées par l'éditeur concernant le déploiement progressif de la sécurisation du protocole Netlogon [1].

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

None
Impacted products
Vendor Product Description
Microsoft Windows Windows Server, version 1903 (Server Core installation)
Microsoft Windows Windows Server, version 2004 (Server Core installation)
Microsoft Windows Windows Server, version 1909 (Server Core installation)
Microsoft Windows Windows Server 2008 R2 for x64-based Systems Service Pack 1
Microsoft Windows Windows Server 2012
Microsoft Windows Windows Server 2012 R2
Microsoft Windows Windows Server 2012 (Server Core installation)
Microsoft Windows Windows Server 2016 (Server Core installation)
Microsoft Windows Windows Server 2019 (Server Core installation)
Microsoft Windows Windows Server 2012 R2 (Server Core installation)
Microsoft Windows Windows Server 2016
Microsoft Windows Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Microsoft Windows Windows Server 2019
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Windows Server, version 1903 (Server Core installation)",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server, version 2004 (Server Core installation)",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server, version 1909 (Server Core installation)",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2008 R2 for x64-based Systems Service Pack 1",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2012",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2012 R2",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2012 (Server Core installation)",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2016 (Server Core installation)",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2019 (Server Core installation)",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2012 R2 (Server Core installation)",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2016",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Server 2019",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2021-03-11",
  "content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation) et suivre les informations\ncommuniqu\u00e9es par l\u0027\u00e9diteur concernant le d\u00e9ploiement progressif de la\ns\u00e9curisation du protocole Netlogon \\[1\\].\n\n\u00a0\n\n------------------------------------------------------------------------\n\nLa mise \u00e0\u00a0jour d\u0027un produit ou d\u0027un logiciel est une op\u00e9ration d\u00e9licate\nqui doit \u00eatre men\u00e9e avec prudence. Il est notamment recommander\nd\u0027effectuer des tests autant que possible. Des dispositions doivent\n\u00e9galement \u00eatre prises pour garantir la continuit\u00e9 de service en cas de\ndifficult\u00e9s lors de l\u0027application des mises \u00e0 jour comme des correctifs\nou des changements de version.\n",
  "cves": [
    {
      "name": "CVE-2020-1472",
      "url": "https://www.cve.org/CVERecord?id=CVE-2020-1472"
    }
  ],
  "initial_release_date": "2020-09-15T00:00:00",
  "last_revision_date": "2021-03-11T00:00:00",
  "links": [
    {
      "title": "[3]",
      "url": "https://twitter.com/_dirkjan/status/1306280553281449985"
    },
    {
      "title": "[5] Billet de Microsoft",
      "url": "https://msrc-blog.microsoft.com/2021/01/14/netlogon-domain-controller-enforcement-mode-is-enabled-by-default-beginning-with-the-february-9-2021-security-update-related-to-cve-2020-1472/"
    },
    {
      "title": "[4] Alerte CERT-FR concernant Samba configur\u00e9 comme contr\u00f4leur de domaine",
      "url": "https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-021/"
    },
    {
      "title": "[2] Guide technique Microsoft concernant la mise en place de l\u0027audit sur la gestion des comptes",
      "url": "https://docs.microsoft.com/fr-fr/windows/security/threat-protection/auditing/event-4742"
    }
  ],
  "reference": "CERTFR-2020-ALE-020",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2020-09-15T00:00:00.000000"
    },
    {
      "description": "ajout des r\u00e8gles de prudence dans la section ad hoc",
      "revision_date": "2020-09-15T00:00:00.000000"
    },
    {
      "description": "modification du score CVSS en coh\u00e9rence avec le score de base indiqu\u00e9 par Microsoft",
      "revision_date": "2020-09-17T00:00:00.000000"
    },
    {
      "description": "ajout d\u0027informations d\u0027aide \u00e0 la d\u00e9tection",
      "revision_date": "2020-09-21T00:00:00.000000"
    },
    {
      "description": "Compl\u00e9ment d\u0027information sur l\u0027exploitation active de la vuln\u00e9rabilit\u00e9",
      "revision_date": "2020-09-24T00:00:00.000000"
    },
    {
      "description": "Mise \u00e0 jour des informations de d\u00e9tection",
      "revision_date": "2020-09-25T00:00:00.000000"
    },
    {
      "description": "Rappel de la derni\u00e8re \u00e9tape de correction pr\u00e9vue pour le 09 f\u00e9vrier 2021",
      "revision_date": "2021-01-20T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2021-03-11T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "\u00c9l\u00e9vation de privil\u00e8ges"
    }
  ],
  "summary": "\u003cstrong\u003e\\[Mise \u00e0 jour du 20 janvier 2021\\]\u003c/strong\u003e\n\nL\u0027\u00e9diteur rappelle dans un billet de blog que la derni\u00e8re \u00e9tape de\ncorrection pour la vuln\u00e9rabilit\u00e9 CVE-2020-1472 aura lieu lors du *Patch\nTuesday* du 9 f\u00e9vrier 2021 \\[5\\].\n\n\u003cstrong\u003eIl est donc imp\u00e9ratif d\u0027avoir r\u00e9alis\u00e9 l\u0027ensemble des \u00e9tapes pr\u00e9alables\navant cette date, conform\u00e9ment au guide de l\u0027\u00e9diteur (\\[1\\]).\u003c/strong\u003e\n\n\u00a0\n\n\u003cstrong\u003e\\[Mise \u00e0 jour du 25 septembre 2020\\]\u003c/strong\u003e\n\nL\u0027\u00e9volution actuelle des m\u00e9thodes d\u0027attaques diminue fortement les\ncapacit\u00e9s de d\u00e9tection \u00e0 l\u0027aide des journaux d\u0027\u00e9v\u00e8nements de Microsoft\nWindows. La section \"Informations d\u0027aide \u00e0 la d\u00e9tection\" a \u00e9t\u00e9 mise \u00e0\njour.\n\n\u00a0\n\n\u003cstrong\u003e\\[Mise \u00e0 jour du 24 septembre 2020\\]\u003c/strong\u003e\n\nMicrosoft confirme l\u0027exploitation de cette vuln\u00e9rabilit\u00e9 par des\nattaquants.\n\nLe CERT-FR rappelle qu\u0027il est imp\u00e9ratif d\u0027appliquer le correctif de\nl\u0027\u00e9diteur \u003cstrong\u003esans d\u00e9lai sur tous les contr\u00f4leurs de domaine (DC, RODC)\u003c/strong\u003e,\nainsi que de suivre les recommandations de l\u0027\u00e9diteur concernant les\n\u00e9volutions \u00e0 venir pour renforcer la s\u00e9curit\u00e9 du protocole Microsoft\nNetlogon \\[1\\].\n\nMicrosoft Security Intelligence a par ailleurs publi\u00e9 des marqueurs\ntechniques de codes d\u0027exploitation (voir ci-dessous, section\n\"Information d\u0027aide \u00e0 la d\u00e9tection\").\n\nLe CERT-FR rappelle \u00e9galement que Samba, configur\u00e9 en contr\u00f4leur de\ndomaine, est potentiellement vuln\u00e9rable et qu\u0027il convient de le\ns\u00e9curiser \u00e9galement sans d\u00e9lai \\[4\\].\n\n\u00a0\n\n\u003cstrong\u003e\\[Mise \u00e0 jour du 21 septembre 2020\\]\u003c/strong\u003e\n\nDes informations d\u0027aide \u00e0 la d\u00e9tection sont consultables ci-dessous.\n\n\u00a0\n\n\u003cstrong\u003e\\[version initiale\\]\u003c/strong\u003e\n\n\u003cstrong\u003eLe 11 ao\u00fbt 2020\u003c/strong\u003e, Microsoft a publi\u00e9 un avis de s\u00e9curit\u00e9 concernant\nla correction d\u0027une vuln\u00e9rabilit\u00e9 affectant le protocole Netlogon Remote\nProtocol.\n\nLe CERT-FR a \u00e9mis un avis le 12 ao\u00fbt 2020 ainsi que des bulletins\ninformant de la situation. Cette vuln\u00e9rabilit\u00e9, jug\u00e9e critique (score\nCVSS3 de 10 sur 10), concerne les diff\u00e9rentes versions de Microsoft\nWindows Server o\u00f9 le r\u00f4le ADDS (Active Directory Domain Services) est\ninstall\u00e9 et o\u00f9 le serveur joue le r\u00f4le de contr\u00f4leur de domaine. Cette\nvuln\u00e9rabilit\u00e9 peut ais\u00e9ment \u00eatre exploit\u00e9e par un acteur mal intentionn\u00e9\nayant un acc\u00e8s aux ports TCP ouverts par le service Netlogon.\n\nL\u0027exploitation de cette vuln\u00e9rabilit\u00e9 peut entra\u00eener une \u00e9l\u00e9vation de\nprivil\u00e8ges sur les contr\u00f4leurs de domaine ayant pour cons\u00e9quence l\u0027acc\u00e8s\n\u00e0 l\u0027ensemble des ressources g\u00e9r\u00e9es par les domaines Active Directory. La\nmise \u00e0 jour de cette vuln\u00e9rabilit\u00e9 doit \u00eatre compl\u00e9t\u00e9e par plusieurs\nmodifications du syst\u00e8me d\u00e9taill\u00e9es dans un article publi\u00e9 par Microsoft\n\\[1\\].\n\n\u003cstrong\u003eDes codes d\u0027exploitation ont \u00e9t\u00e9 publi\u00e9s r\u00e9cemment sur Internet.\u003c/strong\u003e Si\nvous n\u0027avez pas d\u00e9ploy\u00e9 les correctifs mis \u00e0 disposition par l\u0027\u00e9diteur\nle 11 ao\u00fbt 2020, il est n\u00e9cessaire de les appliquer sans d\u00e9lai et\nd\u0027effectuer des contr\u00f4les du syst\u00e8me d\u0027information afin de d\u00e9tecter une\n\u00e9ventuelle compromission, notamment en investiguant vos journaux\nsyst\u00e8mes et r\u00e9seaux afin d\u2019identifier les \u00e9ventuelles connexions\nill\u00e9gitimes et les possibles lat\u00e9ralisation par un ou plusieurs\nattaquants sur votre infrastructure.\n\nPar ailleurs, le CERT-FR rappelle que les contr\u00f4leurs de domaines, en\ntant que syst\u00e8mes n\u00e9vralgiques, ne doivent, en aucun cas, \u00eatre\naccessibles directement depuis internet.\n\nPour rappel :\n\n-   Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information :\n    \u003c/information/CERTA-2002-INF-002/\u003e\n-   Le guide d\u2019hygi\u00e8ne informatique :\n    \u003chttps://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf\u003e\n\n------------------------------------------------------------------------\n\n#### Informations d\u0027aide \u00e0 la d\u00e9tection\n\n\u003cstrong\u003e\\[25 septembre 2020\\]\u003c/strong\u003e IMPORTANT : Les informations ci-dessous\npermettent de d\u00e9tecter la m\u00e9thode d\u0027attaque d\u00e9crite initialement par les\nchercheurs, qui consiste \u00e0 modifier le mot de passe du compte d\u0027une\nmachine contr\u00f4leur de domaine. \u003cstrong\u003eD\u0027autres chemins d\u0027attaque existent\nd\u00e9sormais qui ne produiront donc pas les m\u00eames \u00e9v\u00e8nements\u003c/strong\u003e.\n\nIl est possible, dans certaines conditions, de d\u00e9tecter une tentative\nd\u0027exploitation qui aurait pu subvenir avant application du correctif de\nMicrosoft, gr\u00e2ce aux journaux g\u00e9n\u00e9r\u00e9s par Windows.\n\nPour cela, la politique d\u0027audit \"Gestion du compte \\\u003e Auditer la gestion\ndes comptes d\u0027ordinateur\" \\[2\\] doit \u00eatre activ\u00e9e sur les contr\u00f4leurs de\ndomaine. Les \u00e9v\u00e9nements \"Un compte d\u0027ordinateur a \u00e9t\u00e9 modifi\u00e9\", dont\nl\u0027identifiant est \u003cstrong\u003e4742\u003c/strong\u003e, sont ainsi g\u00e9n\u00e9r\u00e9s dans le journal de\ns\u00e9curit\u00e9.\n\nDe tels \u00e9v\u00e9nements sont g\u00e9n\u00e9r\u00e9s de mani\u00e8re l\u00e9gitime lorsqu\u0027un compte\nd\u0027ordinateur renouvelle son mot de passe. N\u00e9anmoins, l\u0027attaque Zerologon\nconduit aux sp\u00e9cificit\u00e9s suivantes :\n\n-   le champ SubjectUserName est \"ANONYMOUS LOGON\" ;\n-   le champ TargetUserName est le compte machine d\u0027un contr\u00f4leur de\n    domaine.\n\nSur certains SI, des \u00e9v\u00e9nements 4742 pourraient \u00eatre g\u00e9n\u00e9r\u00e9s avec le\nchamp SubjectUserName \u00e9gal \u00e0 \u00ab ANONYMOUS LOGON \u00bb. Bien que ce ne soit\npas le fonctionnement normal d\u0027un SI, il n\u0027est toutefois pas forc\u00e9ment\nr\u00e9v\u00e9lateur d\u0027une attaque mais pourrait provenir d\u0027un d\u00e9faut de\nconfiguration.\n\nLors des analyses du CERT-FR, des \u00e9v\u00e9nements avec l\u0027identifiant \u003cstrong\u003e5805\u003c/strong\u003e\nindiquant un acc\u00e8s refus\u00e9 de Netlogon ont \u00e9galement \u00e9t\u00e9 identifi\u00e9s en\ncombinaison avec l\u0027\u00e9v\u00e9nement 4742 pr\u00e9-cit\u00e9 mais uniquement lors de la\npremi\u00e8re attaque. Ces \u00e9v\u00e9nements se trouvent dans le journal \"syst\u00e8me\".\n\nIl est fort probable que suite \u00e0 une attaque r\u00e9ussie, un attaquant\ncherche \u00e0 r\u00e9aliser les actions suivantes qui peuvent \u00e9galement \u00eatre\nidentifi\u00e9es gr\u00e2ce aux journaux :\n\n-   l\u0027attaquant pourrait utiliser le compte machine compromis pour mener\n    d\u0027autres actions telles que DCSync. Un \u00e9v\u00e9nement d\u0027authentification\n    distante r\u00e9ussi (\u003cstrong\u003e4624\u003c/strong\u003e) avec le compte machine compromis pourrait\n    avoir lieu ;\n-   l\u0027attaquant pourrait changer une seconde fois le mot de passe du\n    compte machine, g\u00e9n\u00e9rant ainsi un second \u00e9v\u00e9nement \u003cstrong\u003e4742\u003c/strong\u003e pour\n    cette machine. En effet, le changement du mot de passe du compte\n    machine du contr\u00f4leur de domaine conduit g\u00e9n\u00e9ralement \u00e0\n    l\u0027impossibilit\u00e9 pour d\u0027autres services de s\u0027authentifier aupr\u00e8s de\n    lui. Cet effet de bord est expliqu\u00e9 ici \\[3\\]. Dans un\n    fonctionnement normal, le mot de passe d\u0027un compte machine n\u0027est par\n    renouvel\u00e9 plusieurs fois en quelques heures.\n\nApr\u00e8s application du correctif publi\u00e9 le 11 ao\u00fbt par Microsoft, de\nnouveaux \u00e9v\u00e8nements sont disponibles afin de\u00a0 journaliser les demandes\nde connexion de machines via un Secure Channel vuln\u00e9rable \\[1\\].\n\n\u003cstrong\u003eLe 24 septembre2020\u003c/strong\u003e, Microsoft Security Intelligence a publi\u00e9 des\nmarqueurs techniques de codes d\u0027exploitation (SHA-256) :\n\n\u003e     b9088bea916e1d2137805edeb0b6a549f876746999fbb1b4890fb66288a59f9d\n\u003e     24d425448e4a09e1e1f8daf56a1d893791347d029a7ba32ed8c43e88a2d06439\n\u003e     c4a97815d2167df4bdf9bfb8a9351f4ca9a175c3ef7c36993407c766b57c805b\n\u003e\n\u003e \u00a0\n",
  "title": "[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans Microsoft Netlogon",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft du 11 ao\u00fbt 2020",
      "url": "https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472"
    },
    {
      "published_at": null,
      "title": "Bulletin CERT-FR CERTFR-2020-ACT-005 du 14 septembre 2020",
      "url": "https://www.cert.ssi.gouv.fr/actualite/CERTFR-2020-ACT-005/"
    },
    {
      "published_at": null,
      "title": "avis CERT-FR CERTFR-2020-AVI-501 du 12 ao\u00fbt 2020",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-501/"
    },
    {
      "published_at": null,
      "title": "Bulletin CERT-FR CERTFR-2020-ACT-003 du 17 ao\u00fbt 2020",
      "url": "https://www.cert.ssi.gouv.fr/actualite/CERTFR-2020-ACT-003/"
    },
    {
      "published_at": null,
      "title": "[1] Publication du Support Technique Microsoft du 14 ao\u00fbt 2020",
      "url": "https://support.microsoft.com/kb/4557222"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.