« Avant 23 h 59 HAE (heure avancée de l'Est), le lundi 21 septembre 2020, assurez-vous que les contrôles techniques et/ou de gestion sont en place pour garantir que les serveurs de contrôleur de domaine nouvellement provisionnés ou précédemment déconnectés sont mis à jour avant de se connecter aux réseaux d'agence », a indiqué en premier lieu le communiqué des responsables de la Cybersecurity and Infrastructure Security Agency (CISA), appartenant au DHS.
Ces exigences sont également applicables aux serveurs Windows dont le rôle est celui d'un contrôleur de domaine Active Directory dans tout système d'information. Cela inclut un système d'information utilisé ou exploité par un tiers agissant pour le compte d'une agence, qui recueille, traite, stocke, transmet, distribue ou conserve les informations de l'agence.
« Avant 23 h 59, mercredi 23 septembre 2020, soumettez un rapport d'achèvement en utilisant le modèle fourni. Les directeurs des systèmes d'information au niveau de leur département ou leurs équivalents doivent soumettre des rapports d'achèvement attestant à la CISA que la mise à jour a été appliquée à tous les serveurs concernés et fournir l'assurance que les serveurs nouvellement provisionnés ou précédemment déconnectés seront corrigés comme l'exige cette directive », ont encore poursuivi les responsables de la CISA.
L'objectif de cette directive d'urgence est de mettre en garde contre les éventuelles conséquences négatives pour les organisations qui ne prennent pas de mesures correctives.
Si ce nouvel exploit Windows (CVE-2020-1472) est considéré comme un risque important, c'est bien parce qu'il offre la possibilité de devenir instantanément un administrateur très puissant ayant la liberté de créer des comptes. Il permet également d'infecter un réseau entier avec des logiciels malveillants et d'effectuer des actions tout aussi catastrophiques. En outre, cette vulnérabilité de Microsoft Windows Netlogon Remote Protocol (MS-NRPC) fait en sorte que des hackers malveillants puissent prendre instantanément le contrôle d'Active Directory sans autorisation. Un Active Directory sert à archiver des données sur les utilisateurs et les ordinateurs ayant l'autorisation d'utiliser le courrier électronique, le partage de fichiers et tout autre service sensible dans de grandes organisations. Ce sont quelques-uns des impacts de ce que les chercheurs ont surnommé Zerologon. Pour donner une autre indication de sa gravité, cette vulnérabilité a atteint un score de 10, le maximum sur l'échelle du Common Vulnerability Scoring System.
« La CISA a déterminé que cette vulnérabilité présente un risque inacceptable pour le pouvoir exécutif civil fédéral et nécessite une action immédiate et d'urgence. Cette détermination est basée sur les éléments suivants : »
- « la disponibilité du code d'exploitation à l'état sauvage augmentant la probabilité que tout contrôleur de domaine non corrigé soit exploité » ;
- « la présence généralisée des contrôleurs de domaine concernés dans toute l'entreprise fédérale » ;
- « le fort potentiel de compromission des systèmes d'information des agences » ;
- « le grave impact d'un compromis réussi » ;
- « la présence continue de la vulnérabilité plus de 30 jours depuis la publication de la mise à jour. »
Pour faire face à cette situation, la CISA ne reste pas les bras croisés, elle poursuivra son travail avec ses partenaires dans le but de surveiller l'exploitation active de cette vulnérabilité. Elle se chargera d'examiner et de valider la conformité des agences en veillant à ce que les agences participant au programme CDM (Continuous Diagnostic and Mitigation) pourront compter sur le soutien de leurs intégrateurs de systèmes CDM afin de les aider dans cet effort en cas de besoin. Dans le but de renforcer cet appui, la CISA fournira des conseils supplémentaires aux agences via son site Web.
Comme l’avait indiqué le communiqué, cette directive d'urgence est applicable tant que toutes les agences n'ont pas mis en œuvre le programme de mise à jour de la sécurité d'août 2020 (ou d'autres programmes de remplacement) ou que la directive n'est pas abrogée par d'autres mesures appropriées.
Source : CISA
Et vous ?
Que pensez-vous de cette vulnérabilité ?
Quel est votre avis sur la décision prise par le Département américain de la sécurité intérieure ?
Voir aussi :
Microsoft met en garde contre l'exécution d'un code Windows Zero-day qui est activement exploitée, voici ce qu'il faut faire en attendant que Microsoft publie un correctif
Windows 10 : Microsoft publie un correctif d'urgence pour la faille critique Microsoft Server Message Block 3.1.1 (SMBv3), les utilisateurs sont vivement encouragés à faire la mise à jour
Microsoft corrige la vulnérabilité cryptographique critique découverte par la NSA dans Microsoft Windows
Microsoft : un bogue Windows "wormable" pourrait conduire à un autre WannaCry, les utilisateurs d'anciennes versions doivent appliquer le patch
Microsoft corrige une faille zero day largement exploitée dans IE, ainsi qu'une faille dans Exchange Server dont le code du PoC était disponible