« La vulnérabilité CVE-2020-1472, surnommée Zerologon, est devenue en quelques heures une menace majeure pour les organisations du monde entier, publiques ou privées. Preuve du sérieux de la situation, le CISA (le département américain de la sécurité intérieure) a pris une disposition rare et imposé à toutes les agences gouvernementales de patcher en urgence leurs serveurs Windows.
Concrètement Zerologon permet d’obtenir des droits élevés dans Active Directory et donc potentiellement, un accès sans restriction à toutes les applications du SI. Par exemple, un attaquant pourrait modifier une politique de groupe pour transférer un malware à tous les ordinateurs Windows d’une organisation. C’est potentiellement un vecteur puissant d’attaques ransomware ou de diffusion de logiciels de surveillance frauduleux.

Benjamin Delpy, auteur de Mimikatz, l’outil de piratage des serveurs Windows, a déjà mis à jour son logiciel pour permettre au plus grand nombre d’exploiter cette vulnérabilité. Une course contre la montre est engagée du côté des organisations pour appliquer le correctif idoine et protéger leurs infrastructures.
Pendant la phase d’attente et de déploiement du correctif, les organisations doivent également désactiver le service par défaut Printer Spooler sur leurs contrôleurs de domaine, qui peut être utilisé par Zerologon.

La découverte de Zerologon est un rappel si besoin en est de l’importance pour les entreprises de disposer d’une solution de sauvegarde et de récupération pour leur Active Directory, comme l’indique l’ANSII. »