Tout ce que vous devez savoir sur la faille de sécurité critique Zerologon

De nombreuses entreprises pensent avoir mis en place un processus solide de correction des vulnérabilités. En réalité, toutes pourraient l'améliorer. La panique provoquée par Zerologon met en évidence de nombreux aspects pouvant être optimisés ou devant être réévalués.

Le 11 août 2020, Microsoft publiait une mise à jour pour la vulnérabilité CVE-2020-1472, désormais connue sous le nom Zerologon. Cette vulnérabilité d'élévation de privilèges concerne le protocole distant Netlogon et peut permettre à un pirate non authentifié d'obtenir un accès Administrateur de domaine. Cette vulnérabilité porte un score CVSSv3 de base égal à 10 et Microsoft l'a classée au niveau Critique.

La mise à jour devait suivre une approche de publication en deux phases. En août, la phase initiale de la mise à jour a été mise à disposition. Elle implémentait les changements, cependant elle ne démarrait pas la mise en œuvre. Au lieu de cela, elle commençait à journaliser les connexions qui seraient refusées une fois la mise en œuvre effective. Le conseil de Microsoft était ainsi de commencer à surveiller et à identifier les connexions non conformes, et de résoudre toutes les non-conformités avant de commencer la mise en œuvre. Avec un changement de registre, vous pourriez activer la mise en œuvre à tout moment, une fois que vous seriez prêt. La phase 2, prévue pour le 9 février 2021, devait voir la publication d’une nouvelle mise à jour pour activer la mise en œuvre.

Toutefois, la publication du code Poc (Proof of Concept) et des signes montrant que des pirates pourraient déjà être en train d'exploiter effectivement cette vulnérabilité ont bousculé le planning, et les recommandations de la Cybersecurity & Infrastructure Security Agency (CISA) et d’autres experts de sécurité ont poussé à des mesures plus immédiates. La CISA a publié le document Emergency Directive (ED) 20-04 (Directive d'urgence 20-04) le 18 septembre dernier. Cette directive stipulait que tous les serveurs Windows jouant le rôle de contrôleur de domaine devaient résoudre la vulnérabilité pour être conformes à cette directive, avant le lundi 21 septembre. Les agences soumises à la directive CISA devaient également prouver leur mise en conformité avant le mercredi 23 septembre.

Gestion en continu des vulnérabilités : votre processus est-il efficace ?

L'histoire de Zerologon a montré que même les meilleurs processus de correction des vulnérabilités peuvent toujours être améliorés. Chaque entreprise doit ainsi se poser les questions suivantes :

>> Quel est votre SLA (Service Level Agreement) concernant la correction des vulnérabilités ? Le délai moyen d'exploitation d'une vulnérabilité est de 22 jours, d'après une étude de l'Institut RAND. Le Data Breach Investigations Report de Verizon indique que, depuis 2016, 50% des exploitations se produisent dans les 14 à 28 jours suivant la publication d'un correctif.

Bluekeep est un exemple très connu qui montre avec quelle rapidité une exploitation peut être développée. La mise à jour a été publiée le 14 mai 2019, et plusieurs équipes de recherche avaient développé des exploitations indépendantes dès le 28 mai 2019, exactement 14 jours après la publication de la mise à jour. Si vous ne ciblez pas un délai d'application des correctifs de 14 jours maximum, vous exposez votre entreprise à des risques significatifs.

>> Comment définissez-vous les vulnérabilités à corriger en priorité ? Au rythme où vont les choses actuellement, le nombre des CVE (Common Vulnerabilities and Exposures) identifiées en 2020 atteindra probablement les 20 000. Cela fait beaucoup de vulnérabilités à traiter. Les entreprises tombent souvent dans ce piège : elles tentent de réduire le nombre de mises à jour à résoudre en identifiant celles qui doivent l’être rapidement (en 14 jours ou moins), versus celles qui peuvent attendre un peu plus longtemps. Elles se basent généralement sur le niveau de gravité défini par le fournisseur et le score CVSS, ciblant alors les CVE marquées Critique ou celles qui portent un score CVSSv3 de base supérieur ou égal à 8.

Lorsque l'on parle de priorités, deux en particulier nous viennent donc à l'esprit. Mais prenons l’exemple de la CVE-2017-11882, une vulnérabilité qui a été exploitée pratiquement dès le premier jour. Microsoft l'avait seulement marquée Important et elle portait un score CVSS de 7,8. C'était pourtant l'une des vulnérabilités du top 10 des CVE les plus exploitées en 2019 publié par Recorded Future, une liste qui comprend des vulnérabilités remontant aussi loin que 2012. C’est pourquoi votre processus de définition des priorités doit reposer sur le niveau de risques, afin d'identifier le risque réel que représentent les vulnérabilités. Un grand nombre d'entre elles pourraient être ignorées si vous ne les examinez pas.

>> Votre entreprise possède-t-elle un processus clair pour définir les priorités, différent de la maintenance standard ? Les pirates agissent vite. Lorsqu'ils le font, il faut savoir ce qu'ils exploitent et être à même de réagir rapidement pour résoudre les vulnérabilités concernées. Si votre processus de hiérarchisation des risques est efficace, vous devriez être capable de réagir lorsqu'il identifie un risque critique. Il est important que votre processus comporte deux axes bien définis. Vous avez besoin de votre processus standard de gestion des vulnérabilités, et il doit être prévisible : SLA bien établis, critères définissant les éléments prioritaires et le moment où il faut les résoudre. Il vous faut aussi un plan "hors bande", ou plan de réaction rapide, que vous pouvez déclencher d'une minute à l'autre, littéralement.

Dans le cas de Zerologon, ou lors des crises précédentes comme WannaCry, on a constaté la nécessité de réagir rapidement et votre processus ne doit pas être ralenti par des discussions sans fin. Définissez clairement un plan d'urgence, et assurez-vous qu'il accélère la prise de décision, qu'il identifie clairement les parties responsables et qu'il comprend un plan d'action pouvant être répété et exécuté rapidement.

Quand se tourner vers un fournisseur de services externe

Certaines entreprises ne possèdent pas l'expertise interne, les outils de surveillance et de hiérarchisation des risques que représentent les vulnérabilités, ni les ressources nécessaires pour surveiller et examiner en continu les vulnérabilités afin de déterminer comment les traiter. Pour soutenir votre équipe, il peut s'avérer judicieux de mettre en place un service géré qui cible la hiérarchisation des risques et la réponse aux vulnérabilités urgentes. Certaines entreprises de gestion des vulnérabilités et d'intelligence des menaces possèdent des produits utiles, et elles peuvent fournir des services pour ces situations. Elles se spécialisent dans ces activités. Vous pouvez ainsi vous concentrer sur votre quotidien et, lorsqu'elles signalent un élément urgent, vous pouvez y répondre rapidement et en toute confiance.