Microsoft affirme avoir observé des menaces ciblant activement la vulnérabilité Zerologon affectant Windows Server.

Suivi comme CVE-2020-1472, la faille de sécurité est liée au protocole distant Netlogon (MS-NRPC) et pourrait permettre à un attaquant non authentifié d’obtenir un accès administrateur de domaine en exploitant une application spécialement conçue qui s’exécute sur un appareil sur le réseau.

L’attaquant pourrait abuser de la faille lors de l’établissement «d’une connexion de canal sécurisé Netlogon vulnérable à un contrôleur de domaine», a déclaré Microsoft dans un avis. Le géant de la technologie a publié des correctifs pour remédier à la faille le mardi patch d’août 2020.

La semaine dernière, le Département américain de la sécurité intérieure (DHS) a publié une directive d’urgence exigeant que toutes les agences fédérales appliquent les correctifs disponibles pour la vulnérabilité Zerologon en quelques jours.

«Cette vulnérabilité présente un risque inacceptable pour le pouvoir exécutif civil fédéral et nécessite une action immédiate et d’urgence», a déclaré la Cybersecurity and Infrastructure Security Agency (CISA) du DHS.

La semaine dernière également, Samba a annoncé des correctifs pour la faille Zerologon, expliquant que Samba implémente le protocole Netlogon et qu’il est vulnérable lorsqu’il est utilisé uniquement comme contrôleur de domaine.

Plusieurs exploits ont été publiés pour la faille, et Microsoft a révélé mercredi qu’il avait déjà observé des pirates informatiques exploitant certains de ces exploits pour cibler activement les systèmes vulnérables.

«Microsoft suit activement l’activité des acteurs menaçants à l’aide d’exploits pour la vulnérabilité CVE-2020-1472 Netlogon EoP, baptisée Zerologon. Nous avons observé des attaques où des exploits publics ont été incorporés dans les playbooks des attaquants », a déclaré la société.

La société a également publié des indicateurs de compromis (IoC) pour ces exploits et encourage les clients à appliquer les correctifs disponibles dès que possible.

«Nous recommandons fortement aux clients de postuler immédiatement …