locked
Connexion Netlogon sécurisée (suite à la faille Netlogon) RRS feed

  • Question

  • Bonjour,

    Suite à la faille sur le protocole Netlogon (CVE-2020-1472), Microsoft indique qu’une seconde phase de correction sera déployée le 9 février 2021.

    Cette seconde phase refusera toutes les connexions Netlogon qui n’utilise pas le protocole sécurisé.

    Nous avons lu sur certains sites que cela bloquera la connexion des serveurs Windows 2003 et 2008.

    Ex. : http://woshub.com/zerologon-critical-active-directory-vulnerability/

    It means that no longer supported Windows versions (Windows XP/ Windows Server 2003/Vista/2008) won’t able to work normally in your AD domain.”

    Nous avons déjà mis à jour nos contrôleurs de domaines (nos DC sont en Windows Server 2012 R2 et 2019).

    Sur le site Microsoft (https://support.microsoft.com/fr-fr/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc), il est demandé de vérifier dans les journaux d’évènements si nous avons des évènements avec ID 5829, nous avons vérifié et nous n’en avons pas trouvé.

    Notre question est donc : est-ce que nous avons quelque chose à faire pour ne pas être bloqué à partir du 9 février 2021 sur nos serveurs end of life (Windows Server 2003 et 2008 R2) ?

    Merci pour votre aide.

    Cordialement.

    lundi 1 février 2021 15:25

Réponses

  • La correction inclut dans les mises à jour ne concerne que les contrôleurs de domaine. C'est la que se trouve la vulnérabilité.
    Les explications sur les mesures à prendre ne paraisse pas très clair et principalement sur les anciens OS membre du domaine. Microsoft indique que tous les OS supportés et mis à jour ne seront pas impactés. 
    Sachant que même 2008R2 n'est plus supporté... Des correctifs existent pour tous les serveurs Windows qui ont le rôle de contrôleur de domaine de 2008R2 et plus récent. On pourrait donc penser que les membres plus anciens que 2008r2 posent problème, mais ce n'est pas directement le sens de la phrase, cela ne parle que des contrôleur de domaine.

    Dans cet article : 0patch Blog: Micropatch for Zerologon, the "perfect" Windows vulnerability (CVE-2020-1472) 

    Q: Is Windows Server 2008 (non-R2) or Windows Server 2003 (any flavor) or Small Business Server 2008 also affected by this vulnerability?

    A: To the best of our knowledge, these servers are not vulnerable to Zerologon.

    Celui parle de non vulnérable si le serveur est un contrôleur de domaine. 

    Normalement on est censé utilisé la GPO sur l'autorisation des connexion vulnérable que pour les computer qui génère des  évènement 5829 dans les logs.

    L'objectif étant de supprimer à terme toute les machines de la GPO autorisant les connexions vulnérable.

    https://support.microsoft.com/fr-fr/topic/comment-g%C3%A9rer-les-modifications-apport%C3%A9es-aux-connexions-de-canaux-s%C3%A9curis%C3%A9s-netlogon-associ%C3%A9es-%C3%A0-cve-2020-1472-f7e8cc17-0309-1d6a-304e-5ba73cd1a11e

    Enregistrez l’ID d’événement 5829 dans le journal des événements système lorsqu’une connexion à un canal sécurisé Netlogon vulnérable est autorisée. Ces événements doivent être traités avant que le mode d’application des DC soit configuré ou avant la phase d’exécution du 9 février 2021.
    Pour les évènements 5827 et 5828 pour des appareils Windows, il faut s'assurer de l'application des mises à jour et activer  le chiffrement et la signature systématique pour les membre du domaine.
    CEla evitera une tentative en echec 


    L'impact sera sans doute plus élevé sur des OS non Windows membre du domaine.Dans un des forums une personne explique qu'elle à eu des 5829 sur des OS non Windows. 
    Bon cela n'enlève pas entièrement l'ambiguïté. 
    Autre lien de Microsoft:

    https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-1472

    Why is there a staged or phased rollout?

    There are many non-Windows device implementations of the Netlogon Remote Protocol (also called MS-NRPC). To ensure that vendors of non-compliant implementations can provide customers with updates, a second release that is planned for Q1 2021 will enforce protection for all domain-joined devices.


    • Marqué comme réponse Anonymous8639 jeudi 4 février 2021 14:02
    mercredi 3 février 2021 07:37
  • Bonjour  Anonymous8639

    Les liens fournis par Nina donnent des informations et notamment celui ci :comment-gérer-les-modifications-apportées-aux-connexions-de-canaux-sécurisés-netlogon-associées-A-cve-2020-1472

    Cela passe par une GPO et notamment dans cette section :

    Configuration ordinateur > paramètres de Windows > paramètres de sécurité > stratégies locales > options de sécurité

    Nom du paramètre : contrôleur de domaine : Autoriser les connexions de canaux sécurisés Netlogon vulnérables

    et là, tu mets tes machines 2003 ... à tes risques et périls.

    Si tu mets ceci en œuvre, fais en sorte que ta hiérarchie la plus haute soit informée des tenants et des aboutissants (risques, OS plus supporté, ...)  et qu'elle assume (cela devient un "risque géré"). Sinon ne fais pas, au risque d'endosser la responsabilité en cas d'attaque.

    cordialement

    Olivier

    • Marqué comme réponse Anonymous8639 mardi 2 février 2021 16:16
    mardi 2 février 2021 15:02

Toutes les réponses

  • Bonjour,

    Étant donné que Serveur 2003 et 2008 ne sont plus supportés et ne sont pas affectés de ce changement en ce moment, je ne pouvais pas trouver assez d'informations précises sur ce sujet. Je suppose que vous devez ajouter le compte d’ordinateur de cet appareil à la stratégie de groupe comme est écrit dans l'article.
    J'ai trouvé des discussions sur ce sujet:
    Netlogon Secure Channel CVE-2020-1472 Clarification Needed
    CVE-2020-1472 Netlogon Secure clarifications
    Not seeing event 5829 since August's updates

    Cordialement,
    Nina

    Microsoft propose ce service gratuitement, dans le but d'aider les utilisateurs et d'élargir les connaissances générales liées aux produits et technologies Microsoft. Ce contenu est fourni "tel quel" et il n'implique aucune responsabilité de la part de Microsoft.


    mardi 2 février 2021 11:57
  • Bonjour  Anonymous8639

    Les liens fournis par Nina donnent des informations et notamment celui ci :comment-gérer-les-modifications-apportées-aux-connexions-de-canaux-sécurisés-netlogon-associées-A-cve-2020-1472

    Cela passe par une GPO et notamment dans cette section :

    Configuration ordinateur > paramètres de Windows > paramètres de sécurité > stratégies locales > options de sécurité

    Nom du paramètre : contrôleur de domaine : Autoriser les connexions de canaux sécurisés Netlogon vulnérables

    et là, tu mets tes machines 2003 ... à tes risques et périls.

    Si tu mets ceci en œuvre, fais en sorte que ta hiérarchie la plus haute soit informée des tenants et des aboutissants (risques, OS plus supporté, ...)  et qu'elle assume (cela devient un "risque géré"). Sinon ne fais pas, au risque d'endosser la responsabilité en cas d'attaque.

    cordialement

    Olivier

    • Marqué comme réponse Anonymous8639 mardi 2 février 2021 16:16
    mardi 2 février 2021 15:02
  • Bonjour Olivier et Nina,

    Merci pour vos réponses, nous allons regarder cette GPO de près.

    Et effectivement nous ne manquerons pas le rappel obligatoire à la hiérarchie concernant les serveurs EOL depuis 2015 ;)

    Bonne fin de journée,

    Cordialement.

    mardi 2 février 2021 16:16
  • La correction inclut dans les mises à jour ne concerne que les contrôleurs de domaine. C'est la que se trouve la vulnérabilité.
    Les explications sur les mesures à prendre ne paraisse pas très clair et principalement sur les anciens OS membre du domaine. Microsoft indique que tous les OS supportés et mis à jour ne seront pas impactés. 
    Sachant que même 2008R2 n'est plus supporté... Des correctifs existent pour tous les serveurs Windows qui ont le rôle de contrôleur de domaine de 2008R2 et plus récent. On pourrait donc penser que les membres plus anciens que 2008r2 posent problème, mais ce n'est pas directement le sens de la phrase, cela ne parle que des contrôleur de domaine.

    Dans cet article : 0patch Blog: Micropatch for Zerologon, the "perfect" Windows vulnerability (CVE-2020-1472) 

    Q: Is Windows Server 2008 (non-R2) or Windows Server 2003 (any flavor) or Small Business Server 2008 also affected by this vulnerability?

    A: To the best of our knowledge, these servers are not vulnerable to Zerologon.

    Celui parle de non vulnérable si le serveur est un contrôleur de domaine. 

    Normalement on est censé utilisé la GPO sur l'autorisation des connexion vulnérable que pour les computer qui génère des  évènement 5829 dans les logs.

    L'objectif étant de supprimer à terme toute les machines de la GPO autorisant les connexions vulnérable.

    https://support.microsoft.com/fr-fr/topic/comment-g%C3%A9rer-les-modifications-apport%C3%A9es-aux-connexions-de-canaux-s%C3%A9curis%C3%A9s-netlogon-associ%C3%A9es-%C3%A0-cve-2020-1472-f7e8cc17-0309-1d6a-304e-5ba73cd1a11e

    Enregistrez l’ID d’événement 5829 dans le journal des événements système lorsqu’une connexion à un canal sécurisé Netlogon vulnérable est autorisée. Ces événements doivent être traités avant que le mode d’application des DC soit configuré ou avant la phase d’exécution du 9 février 2021.
    Pour les évènements 5827 et 5828 pour des appareils Windows, il faut s'assurer de l'application des mises à jour et activer  le chiffrement et la signature systématique pour les membre du domaine.
    CEla evitera une tentative en echec 


    L'impact sera sans doute plus élevé sur des OS non Windows membre du domaine.Dans un des forums une personne explique qu'elle à eu des 5829 sur des OS non Windows. 
    Bon cela n'enlève pas entièrement l'ambiguïté. 
    Autre lien de Microsoft:

    https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-1472

    Why is there a staged or phased rollout?

    There are many non-Windows device implementations of the Netlogon Remote Protocol (also called MS-NRPC). To ensure that vendors of non-compliant implementations can provide customers with updates, a second release that is planned for Q1 2021 will enforce protection for all domain-joined devices.


    • Marqué comme réponse Anonymous8639 jeudi 4 février 2021 14:02
    mercredi 3 février 2021 07:37
  • En ce qui concerne le script dispo ici 

    https://support.microsoft.com/fr-fr/topic/script-pour-vous-aider-%C3%A0-analyser-les-id-d-%C3%A9v%C3%A9nement-relatifs-aux-modifications-apport%C3%A9es-aux-connexions-de-canaux-s%C3%A9curis%C3%A9s-netlogon-associ%C3%A9es-%C3%A0-cve-2020-1472-26434ae1-f9b9-90a0-cd0a-cfae9c5b2494

    J'ai du modifié la ligne suivante en supprimant la partie souligné : Level=3,4

    :

    $mc582s = Get-WinEvent -FilterHashtable @{Path=$mcfile.FullName; LogName="System"; Level=3,4; StartTime=$mcFile.StartTime; id=5827,5828,5829,5830,5831} -MaxEvents $mcFile.MaxEvents -ErrorAction SilentlyContinue
          If ($mc582s -ne $null) {

    ...

    Sinon les résultats n'apparaissent pas.

    Les noms et valeurs énumérées de la clé Level sont les suivantes :

    TABLE 3
    Nom Valeur
    Commentaires 5
    Informationnel 4
    Avertissement 3
    Error 2
    Critique 1
    LogAlways 0


    mercredi 3 février 2021 08:17
  • Bonjour Philippe,

    Merci pour votre retour.
    Si je comprends bien, seuls des appareils tiers pourraient être impactés et générer un event 5829 (ou 582x).
    Dans notre cas nous n'avons effectivement aucun évènement de ce type, j'ai d'ailleurs joué votre script avec la modification, qui ne m'a rien retourné.

    --
    Enter local, mapped or UNC path to saved system evtx or previously generated 582-*.csv. Be sure to remove trailing blank. For Example (c:\EventData)
     Or press [Enter] if script is in the same file folder as evtx or csv.
     : 04022021_sys_events.evtx
    Convert evtx to csv.
       Processing: C:\Users\admin\desktop\04022021_sys_events.evtx
        No 582-*.csv found in specified 04022021_sys_events.evtx.
    Script completed.
    --

    Je serais curieux de comprendre comment un OS non supporté et mis à jour depuis 5 ans ne serait pas autant impacté qu'un appareil tiers.
    J'imagine qu'on en saura plus dans quelques jours ...

    Très bonne journée,
    Cordialement. 
    jeudi 4 février 2021 14:02