Microsoft a annoncé que ses outils antivirus internes sont désormais capables de détecter les vulnérabilités ZeroLogon. Microsoft Defender for Identity peut désormais détecter la vulnérabilité à un stade précoce, permettant aux équipes de sécurité d'identifier rapidement d'où proviennent les attaques et si elles ont réussi ou non. La vulnérabilité CVE-2020-1472, également connue sous le nom de ZeroLogon, affecte le protocole Netlogon Remote de Microsoft et a été notée 10 sur 10 pour la gravité par le Common Vulnerability Scoring System. Alors que Microsoft a publié le premier correctif pour le bogue en août, un autre ne devrait pas être publié avant février, et dans tous les cas, cela peut prendre des mois aux organisations pour s'assurer que tous leurs appareils sont corrigés. Par conséquent, les nouvelles mises à jour antivirus de Microsoft pourraient fournir une protection indispensable. En combinant les nouvelles solutions Microsoft 365 Defender, les organisations peuvent détecter les acteurs de la menace lorsqu'elles tentent d'exploiter la vulnérabilité ZeroLogon contre leurs contrôleurs de domaine.
Détecter et défendre
Avec les alertes Microsoft Defender for Identity en place, les organisations pourront détecter quel appareil tente d'usurper ZeroLogon, le contrôleur de domaine concerné, l'actif cible et si les tentatives d'usurpation réussissent. « Les clients utilisant Microsoft 365 Defender peuvent tirer pleinement parti de la puissance de Microsoft Defender pour les signaux et alertes d'identité, combinés à Microsoft Defender pour les détections et les événements comportementaux des points de terminaison », a déclaré Daniel Naim, responsable du programme Microsoft. "Cette protection coordonnée vous permet non seulement d'observer les tentatives d'exploitation de Netlogon sur les protocoles réseau, mais également de visualiser le processus de l'appareil et l'activité des fichiers associés à l'exploit." Fin octobre, Microsoft a averti que la vulnérabilité ZeroLogon était toujours exploitée à l'état sauvage, les attaquants ciblant les appareils non corrigés. Les nouvelles solutions de sécurité de l'entreprise devraient offrir une meilleure protection, même pour les entreprises qui n'ont pas encore installé les correctifs nécessaires.- Consultez également notre tour d'horizon des meilleurs pare-feu pour protéger votre appareil.