La récente faille CVE-2020-1472 surnommée Zerologon, patchée en août dernier par Microsoft, a fait sortir de sa réserve le discret département de la sécurité nationale des Etats-Unis (Department Homeland Security). Dans un billet en fin de semaine dernière, l'institution a sommé les agences gouvernementales d'appliquer le patch, précisant même une deadline qui avait été fixée au lundi 21 septembre 2020 à minuit.
« Avant 23h59 mercredi 23 septembre 2020, soumettez un rapport d'achèvement en utilisant le modèle fourni. Les directeurs des systèmes d'information au niveau de leur département ou leurs équivalents doivent soumettre des rapports d'achèvement attestant au CISA que la mise à jour a été appliquée à tous les serveurs concernés et fournir l'assurance que les serveurs nouvellement provisionnés ou précédemment déconnectés seront corrigés comme l'exige cette directive », souligne le DHS. La faille Zerologon qui permet à un pirate de prendre le contrôle d'un domaine Windows via le protocole Netlogon s'avère particulièrement critique. Elle nécessite absolument d'être patchée, ayant atteint un score de 10, le maximum sur l'échelle du Common Vulnerability Scoring System.
Les problèmes de montée de version passés au crible
« À compter du 1er octobre 2020, le directeur de la CISA engagera les DSI et/ou les hauts fonctionnaires des agences pour la gestion des risques des agences qui n'ont pas effectué les actions requises, le cas échéant et sur la base d'une approche fondée sur les risques. D'ici le 5 octobre 2020, la CISA fournira un rapport au secrétaire à la Sécurité intérieure et au directeur du Bureau de la gestion et du budget identifiant le statut inter-agences et les problèmes en suspens », indique le DHS.
Commentaire