Numéro : AL20-022 – MISE À JOUR NO 1
Date : 16 septembre 2020
Mise à Jour : 24 septembre 2020
AUDITOIRE
La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.
OBJET
Une alerte a pour objet de prévenir les destinataires relativement à des cybermenaces qui ont été relevées récemment et qui pourraient peser sur les fonds d’information électronique. Elle vise également à leur fournir un complément d’information en matière de détection et d’atténuation. Sur demande, le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) offre également aux destinataires une assistance additionnelle concernant la teneur de la présente alerte.
VUE D’ENSEMBLE
Le Centre pour la cybersécurité a été informé de preuves de concept publiées récemment concernant un code d’exploitation associé à la vulnérabilité CVE 2020 1472 d’élévation de privilèges dans NetLogon. Le Centre pour la cybersécurité recommande fortement aux organisations d’appliquer immédiatement les correctifs aux systèmes vulnérables.
MISE À JOUR
Le 23 septembre 2020, Microsoft a annoncé [4] que des auteurs malveillants exploitent activement la vulnérabilité CVE 2020 1472. Les organisations qui n’ont pas encore mis à jour les systèmes touchés devraient appliquer les correctifs immédiatement et analyser leurs systèmes pour détecter tout indicateur de compromission (IC). Plusieurs IC sont présentés plus loin sous la rubrique INDICATEURS DE COMPROMISSION.
Proofpoint a publié une signature Suricata de détection d’intrusion pour aider à cerner les tentatives d’exploitation. [5]
Le 18 septembre 2020, l’équipe de Samba a publié un avis [6] dans lequel elle confirmait que certaines versions de Samba, lorsqu’elles sont configurées comme contrôleurs de domaines, sont également touchées par la vulnérabilité CVE-2020-1472.
DÉTAILS
Le 11 août 2020, Microsoft a publié des mises à jour de sécurité visant à corriger des vulnérabilités liées à de multiples produits [1], notamment une mise à jour visant à corriger une vulnérabilité critique d’élévation de privilèges [2]. Cette vulnérabilité (CVE-2020-1472) peut être exploitée en établissant une connexion sur canal sécurisé NetLogon vulnérable à un contrôleur de domaine en utilisant le protocole NetLogon Remote Protocol.
En exploitant cette vulnérabilité, un auteur malveillant ayant obtenu un accès au réseau local pourrait élever ses privilèges pour obtenir un accès d’administrateur de domaine.
Microsoft corrige la vulnérabilité dans le cadre d’un déploiement échelonné en deux parties présenté dans les lignes directrices de Microsoft indiquées ci dessous [3].
MESURES RECOMMANDÉES
Le Centre pour la cybersécurité recommande aux organisations d’installer immédiatement les dernières mises à jour de sécurité de Microsoft.
INDICATEURS DE COMPROMISSION
Microsoft a fourni les IC pour les échantillons d’exploit suivants (SHA 256) :
b9088bea916e1d2137805edeb0b6a549f876746999fbb1b4890fb66288a59f9d
24d425448e4a09e1e1f8daf56a1d893791347d029a7ba32ed8c43e88a2d06439
c4a97815d2167df4bdf9bfb8a9351f4ca9a175c3ef7c36993407c766b57c805b
RÉFÉRENCES
[1] Bulletin de sécurité AV20-323 du Centre pour la cybersécurité :
https://cyber.gc.ca/fr/avis/bulletin-de-securite-microsoft-correctif-cumulatif-mensuel-de-septembre-2020
[2] Bulletin de sécurité Microsoft - CVE-2020-1472 – Vulnérabilité d’élévation de privilèges dans NetLogon :
https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-1472
[3] Lignes directrices de Microsoft - Comment gérer les modifications apportées aux connexions de canaux sécurisés Netlogon associées à CVE 2020 1472 :
https://support.microsoft.com/fr-ca/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc
Mise à Jour : [4] Services de renseignement de sécurité de Microsoft (@MsftSecIntel) :
https://twitter.com/MsftSecIntel/status/1308941504707063808
Mise à Jour : [5] 2030871 ET EXPLOIT Possible Zerologon NetrServerAuthenticate with 0x00 Client Credentials (CVE-2020-1472) :
https://rules.emergingthreats.net/open/suricata-5.0/emerging-all.rules
Mise à Jour : [6] Avis sur la prise de contrôle de domaines par l’entremise de NetLogon (« ZeroLogon ») :
https://www.samba.org/samba/security/CVE-2020-1472.html
NOTE AUX LECTEURS
Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il est l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Agissant à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique au Canada, le personnel du Centre pour la cybersécurité travaille étroitement avec les ministères, les propriétaires et les exploitants d’infrastructures essentielles, les entreprises canadiennes et les partenaires internationaux pour élaborer et appliquer des moyens d’intervention, d’atténuation et de reprise en cas d’incidents de cybersécurité. C’est dans cette optique que nous prodiguons des conseils d’experts et offrons un soutien de premier plan, et que nous coordonnons la diffusion de l’information pertinente ainsi que les interventions en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.