Catégories
parts solar water heater

Le gouvernement fédéral émet un ordre urgent aux agences pour corriger une erreur Windows critique

Photographie en gros plan des composants du réseau informatique.

La Division de la sécurité nationale des États-Unis donne aux entreprises fédérales jusqu’à mardi minuit pour corriger une vulnérabilité clé du programme Home, ce qui pourrait permettre aux attaquants de devenir plus facilement des dirigeants omnipotents qui ont la liberté de créer des comptes, d’infecter toute la communauté avec des logiciels malveillants et d’avoir les mêmes performances.

Zerologon, comme les chercheurs ont appelé la vulnérabilité, permet à des pirates malveillants d’obtenir immédiatement une gestion non autorisée de la liste énergétique. Energetic Listing acquiert des connaissances sur les clients et les systèmes informatiques qui peuvent être autorisés à utiliser le courrier électronique, le partage de fichiers et divers fournisseurs sensibles dans les grandes organisations. Zerologon est surveillé en tant que CVE-2020-1472. Microsoft a publié le dernier patch mardi.

Danger inacceptable

La faille, qui est courante dans toutes les variantes prises en charge du serveur Windows, apporte une évaluation cruciale de la gravité de Microsoft, avec une majorité de 10 en dessous du système de notation de la vulnérabilité généralisée. Un coup de pouce supplémentaire à ce rôle a été la publication d’un certain nombre de chercheurs de code d’exploitation d’essai qui fourniraient une feuille de route aux pirates malveillants pour créer des attaques fonctionnelles.

Les responsables de la société de cybersécurité et de sécurité des infrastructures, qui appartient au DHS, ont publié vendredi une directive d’urgence, qui met en garde contre d’éventuelles sanctions extrêmes pour les organisations qui ne font pas de correctifs. Il est dit:

CISA a déterminé que cette vulnérabilité constitue une menace inacceptable pour le Département civil fédéral et nécessite une demande directe et urgente. Cette volonté est basée sur les éléments suivants:

  • fournir un code d’exploitation dans le cadre de la chance grandissante d’exploiter tout contrôleur de zone non découvert;
  • les contrôleurs largement présents de la zone touchée dans toute l’entreprise fédérale;
  • potentiel excessif de compromission des méthodes de données d’entreprise;
  • impact sérieux d’un compromis rentable; je
  • présence continue de vulnérabilité pendant plus de 30 jours car le remplacement est initié.

CISA, qui a le pouvoir de mettre en place des directives d’urgence qui devraient atténuer les menaces de sécurité identifiées ou soupçonnées, donne aux organisations d’ici lundi 23 h 59 HAE à la fois pour installer un correctif Microsoft ou pour exclure un contrôleur de zone faible de la communauté du groupe.

Mercredi à 23 h 59 HAE au plus tard, les entreprises doivent soumettre un rapport d’achèvement certifiant que le remplacement a été utilisé sur tous les serveurs affectés ou fournissant l’assurance que les serveurs nouvellement sécurisés ou précédemment arrêtés seront probablement corrigés.

L’exploitation est moins compliquée que prévu

Lorsque les détails de la vulnérabilité ont fait surface pour la première fois mardi, de nombreux chercheurs ont émis l’hypothèse qu’elle ne pourrait être exploitée que lorsque les attaquants ont déjà un pied dans une communauté faible, et par un initié malveillant ou un attaquant extérieur qui a déjà obtenu des privilèges de niveau inférieur. De tels exploits post-compromis seront cruciaux, mais l’exigence est généralement un obstacle suffisamment élevé pour à la fois acheter du temps réseau faible ou pousser les attaquants à exploiter des failles de sécurité plus simples mais beaucoup moins extrêmes.

Depuis, plusieurs chercheurs avoir il a dit qu’il est possible pour des attaquants d’exploiter une vulnérabilité via Internet sans avoir au préalable un niveau d’entrée aussi bas. Justification: quels que soient les dangers, certaines organisations exposent leurs contrôleurs de zone – c’est-à-dire les serveurs qui exécutent la liste énergétique – à Internet. Les réseaux qui font cela et qui ont maintenant un bloc de message de serveur de partage de fichiers détecté ou un processus d’appel de connaissances à distance au sein du réseau peuvent également être utilisables sans une variété de besoins.

« Si vous organisez des révélations pour #zerologon (CVE-2020-1472), n’oubliez pas qu’il pourrait être utilisé via SMB! » a écrit des chercheurs de l’agence de sécurité Zero Networks. Exécutez ceci, regardez le script (qui est principalement basé sur @SecuraBV) pour chaque RPC / TCP et RPC / SMB. « 

Kevin Beaumont, apparaissant comme un chercheur impartial, a ajouté: «Il existe une barrière (quoique mineure) à l’entrée car pour le moment, l’exploitation n’automatise pas les tests dans les zones éloignées et Netbios identifie DC. Un contrôleur de zone non corrigé = chaque extrémité de la surface corrigée est faible sur le RCE. Un autre pivot, lorsque vous ouvrez SMB – RPC via SMB. A l’attention des personnes découvrant la communauté. « 

Les requêtes utilisant le service de recherche Binary Edge montrent que près de 30 000 contrôleurs de domaine sont visibles et que trois millions de serveurs supplémentaires ont été exposés à RPC. Dans le cas où les deux paramètres sont appliqués à un seul serveur, cela pourrait être faible pour les attaques à distance qui fournissent des paquets spécialement conçus qui donnent une entrée complète dans la liste d’énergie.

Beaumont et divers chercheurs continuent de chercher des preuves que les individus se développent activement dans les attaques, mais jusqu’à présent, il n’y a aucune expérience publique que les exploitations – à la fois rentables ou éprouvées – sont vigoureuses. Compte tenu des enjeux et de la quantité de détails de vulnérabilité accessibles au public, il ne serait pas choquant de voir des exploits sauvages émerger dans les jours ou peut-être les semaines à venir.