Zerologon : alertes transatlantiques sur cette faille critique
Publié par Clément Bohic le - mis à jour à
L'ANSSI et son homologue américaine redoublent de vigilance quant à la faille Zerologon, qui met en danger les infrastructures Active Directory.
Le CERT-FR a actualisé son bulletin d'alerte relatif à Zerologon. Il a ajouté des informations d'aide à la détection.
En toile de fond, la multiplication des codes d'exploitation de cette faille qui touche les contrôleurs de domaines Active Directory à travers le protocole d'authentification Netlogon.
Pour repérer une éventuelle attaque, on portera attention à un événement en particulier dans les journaux système. Son identifiant : 4272. Son intitulé : « Un compte d'ordinateur a été modifié ».
Il est probablement lié à Netlogon si :
Autre indice possible : l'événement 5805. Il indique un accès refusé de Netlogon.
Si une attaque réussit, on constatera probablement les actions suivantes :
Les contrôleurs de domaines sont des systèmes névralgiques, rappelle le CERT-FR (rattaché à l'ANSSI). À ce titre, ils « ne doivent, en aucun cas, être accessibles directement depuis Internet ».
Aux États-Unis, la Cybersecurity and Infrastructure Security Agency a émis une directive d'urgence vendredi dernier. L'agence, qui dépend du département de la Sécurité intérieure, a donné jusqu'à ce 23 septembre minuit aux organes de l'administration fédérale pour installer le correctif que Microsoft a publié le 11 août dernier.
Illustration © Kentoh - shutterstock.com