Le 9 février 2021 sera pire que le passage l’An 2000

Un petit billet d’humeur en cette fin d’année, billet qui s’annonce comme une prédiction de Nostradamus concernant, non pas le passage à l’AN 2000, mais le passage du 9 Février 2021.

Depuis déjà un petit moment, Microsoft  communique sur une faille existante que l’éditeur Secura a nommée ZeroLogon , une faille (CVE-2020-1472) dotée du score de criticité maximal sur l’échelle CVSS.

En résumé, c’est grave… C’est grave  et le problème est compliqué à traiter car il n’impacte pas que les serveurs ou PC exécutant Windows.

Depuis le 11 aout 2020 Microsoft a déployé au sein de correctif, un mécanisme qui permet de recenser au niveau des contrôleurs de domaines tous les client qui possèdent cette faille. Les événements sont collectés dans des journaux d’événements des contrôleurs de domaine pour identifier les appareils de l’environnement utilisant des connexions de canaux sécurisées Netlogon posant problème. Ces événements apparaissent avec l’ID d’événement 5829.Ils incluent les informations pertinentes pour identifier les appareils non conforme.

Voila un exemple :

Un NAS EMC qui possède la faille :

Et ce n’est pas le seul ! Photocopieur avec le protocole SMB intégré au domaine, Appliance diverses et variées qui s’appuient sur l’AD seront touchées et pour une parti, il n’y aura pas de correctif.

En février, Microsoft poussera la mise à jour au travers de sa mise a jour cumulative sur les contrôleurs de domaine ( pas question de faire de la chirurgie…) et tous ces équipements non conformes seront exclus de l’AD.

Alors quelles sont les solutions ?

La première (celle qu’il ne faut pas faire) c’est de bloquer les mises à jour et de rendre le SI encore plus vulnérable…

La seconde, prendre le taureau par les cornes et mettre à jour ces équipements  non conformes ou migrer vers d’autres solutions compatibles avant la date fatidique .

J’ai toujours été contre ces solution NAS quelles soient NETAPP, EMC ou autres pour remplacer les serveurs de Fichier SMB en stockage primaire. Leur implémentation de SMB 3.11 est toujours incomplète, ne supportant pas SMB direct ou le SMB multicanal, et aujourd’hui c’est la sécurité qui me donne raison. Certains de ces vieux NAS d’auront droit à aucune mise à jour.

Je reste persuadé que peu de gens se préoccupent de ce problème, surtout dans le PME et TPE, et que le mois de février risque d’être plein de mauvaises surprises contrairement au passage AN 2000 ou il ne c’est rien passé. J’espère me tromper…

 

 

Leave a Reply