Actualités

Zerologon : une nouvelle “alternative” a été découverte pour exploiter la faille ! (PATCH disponible depuis fin Août…)

Alors que la vulnérabilité relative à Netlogon a été colmatée depuis la fin du mois d’Août (un patch est disponible), les chercheurs et analystes appellent à la vigilance : un nouvel exploit autre que celui initialement mis en lumière est possible pour exécuter Zerologon…

 

 

Toujours depuis Active Directory, le protocole d’authentification NTLM (NT Lan Manager) peut être détourné en exploitant le relais : “si un attaquant peut convaincre un utilisateur de s’authentifier auprès de lui en utilisant NTLM, il peut transférer les messages d’authentification vers un autre serveur et se faire passer pour l’utilisateur sur ce serveur“, détaille Dirk-jan Mollema, dans un billet sécuritaire datant du 24 Septembre dernier. En complétant l’exploit (CVE-2020-1472) avec une vulnérabilité compromettant la clé de session requise (CVE-2015-0005), Zerologon pourrait voire une autre dérive de son exploit en permettant, toujours, au final, une élévation de privilèges. Comble de la dangerosité, l’efficacité du modus operandi requiert l’activation du service de spool(er).

 

“Nous pouvons utiliser ce code comme base pour développer le client DCSync. Étant donné que l’utilisation du protocole DRSUAPI nécessite une signature et un cryptage, nous devons nous assurer que lorsque la connexion est initialisée, nous négocions RPC_C_AUTHN_LEVEL_PKT_PRIVACY à la place. Après avoir relayé les 3 messages NTLM, nous devrions pouvoir obtenir la clé de signature via Netlogon et nous devrions être en mesure d’envoyer n’importe quelle opération via la connexion […] NTLM dans le protocole SMB (ndlr : port 445) actif uniquement l’indicateur de signature par défaut et laisse l’indicateur de scellage vide. Lorsque nous transmettons cela à DRSUAPI, le serveur pense que nous ne voulons pas chiffrer les messages et renvoie une erreur car cela n’est pas autorisé par cette interface RPC“, indique le chercheur qui note un paradoxe : dans le cadre d’une attaque malveillante, une fois l’intrusion effective, le cyber-attaquant renforce sa position en verrouillant ou changer les accès de connexion pour rendre l’ensemble quasi-inviolable ; ironie : l’indicateur de scellement s’avère posséder une limite dans l’activation de la donnée scellée (drapeau), ce qui peut éventuellement donner une chance – infime – pour récupérer le système ou, selon le point de vue, faire apparaître, côté administrateur légitime, une vulnérabilité latente.

Encore une fois, le patch lié à Zerologon est disponible depuis la fin de l’été : l’appliquer mettra fin à ce type d’exploit… A suivre !

 

Source : Dirkjanm – 24 Septembre 2020 – Zerologon : nouvelle déclinaison d’exploitation.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020