Une vulnérabilité affecte le protocole Netlogon Remote Protocol et permet une élévation de privilèges.
Le protocole distant Netlogon (également appelé MS-NRPC) est une interface RPC utilisée exclusivement par des appareils joints à des domaines. MS-NRPC inclut une méthode d’authentification et une méthode pour établir un canal sécurisé Netlogon. Ces mises à jour appliquent le comportement de client Netlogon spécifié afin d’utiliser un RPC sécurisé avec un canal sécurisé Netlogon entre les ordinateurs membres et les contrôleurs de domaine Active Directory (AD).
![](https://julien.io/content/images/2020/08/rpc-flow.png)
Si un utilisateur clique sur une pièce jointe malveillante, l’attaquant peut se retrouver administrateur de domaine. Quelques éclaircissements :
- L'attaquant peut devenir administrateur de domaine sans s'authentifier. L'attaquant n'a pas besoin d'un compte machine, mais seulement de la possibilité d'établir des connexions TCP avec le contrôleur de domaine.
- L'application du patch du 11 août à tous les DCs est suffisante pour arrêter cette voie d'exploitation pour devenir administrateur de domaine.
- Après l'application du correctif, il y a un risque résiduel si les connexions RPC Netlogon non sécurisées sont autorisées
Liens :
- Bulletin d'alerte Microsoft
- Common Vulnerabilities and Exposures (CVE-2020-1472)
- L'avis du CERT-FR
⚠️ Pensez à surveiller les évènements 5827, 5828,5829,5830 et 5831, ou utilisez ce script.