Nous sommes très fiers et enthousiastes d'annoncer que notre principal spécialiste de la sécurité, Tom Tervoort, interviendra lors de la conférence Black Hat USA 2021 sur la CVE Zerologon (CVE-2020-1472).
Dans un environnement Windows Active Directory, les ordinateurs reliés à un domaine doivent régulièrement communiquer avec les contrôleurs de domaine pour faciliter l'authentification réseau NTLM et un certain nombre d'autres tâches. Cette communication s'effectue via le protocole Netlogon Remote Protocol. Ce qui est intéressant dans ce protocole, c'est qu'il n'utilise pas Kerberos ou NTLM pour l'authentification mutuelle. Au lieu de cela, un protocole cryptographique non standard est utilisé par les deux parties pour prouver qu'elles connaissent le mot de passe d'un ordinateur.
Ce protocole présente un certain nombre de failles: l'une d'entre elles est une vulnérabilité de déclassement qui permet à un attaquant MitM d'obtenir une exécution de code à distance privilégiée sur le client Netlogon. Un second problème, beaucoup plus grave, permet l'usurpation d'identité de comptes informatiques arbitraires. En utilisant une série d'attaques par texte choisi contre un obscur mode de fonctionnement de chiffrement par bloc (qui se résume à remplir un certain nombre de champs avec des zéros) , un attaquant peut réinitialiser le mot de passe de l'ordinateur du contrôleur de domaine à une chaîne vide, extraire la base de données des comptes avec le protocole DRS et obtenir l'accès à l'administrateur du domaine.
Un attaquant n'a besoin d'aucun privilège pour mener à bien une attaque. Il lui suffit de prendre pied sur le réseau et d'établir des connexions TCP vers un contrôleur de domaine non corrigé. Depuis sa divulgation en septembre 2019, cette vulnérabilité "Zerologon" a été exploitée à grande échelle et a donné lieu à une directive d'urgence du DHS pour l'installation de correctifs.
Dans cette conférence, Tom exposera ses recherches sur la cryptographie Netlogon et montrera comment il a accidentellement découvert un problème théorique qui s'est avéré être l'une des vulnérabilités AD les plus critiques de l'année. Il expliquera les différentes étapes de l'exploit de l'attaque Zerologon et précisera comment le correctif de Microsoft l'atténue.