Zerologon sfrutta il protocollo Netlogon Remote, utilizzato nel processo di autenticazione
È stata scoperta una nuova vulnerabilità nei controller di dominio Windows. In un articolo pubblicato a settembre, i ricercatori di Secura hanno trovato un bug crittografico e lo hanno chiamato Zerologon.
Sfrutta il protocollo Netlogon Remote utilizzato nel processo di autenticazione. Tutto ciò che serve per sfruttare questo difetto e compromettere un’ampia gamma di servizi di identità di Active Directory è una connessione a livello TCP al controller di dominio stesso. Secura ha pubblicato uno strumento di test su Github in grado di capire se un controller di dominio è vulnerabile o meno.
La scoperta ha portato a una rara direttiva di emergenza emessa dalla CISA – la Cybersecurity and Infrastructure Security Agency degli Stati Uniti – per installare le patch su tutti i server Windows di proprietà federale entro il 21 settembre 2020 e per segnalare al CISA quei server che sono ancora vulnerabili. Ciò non ha lasciato molto tempo per l’applicazione delle patch.
Perché tanta fretta?
Principalmente perché sono stati già rilevatti attacchi che utilizzano questo difetto e alcuni analisti hanno affermato che questo è il bug di Windows più pericoloso dell’anno. Microsoft ha riferito di aver identificato minacce attive su uno dei suoi account Twitter . In questi tweet sono inclusi tre esempi che Microsoft afferma siano stati utilizzati negli attacchi. Questi esempi sono eseguibili .NET con il nome file “SharpZeroLogon.exe” e possono essere trovati su VirusTotal. Inoltre, un ricercatore ha pubblicato un video in cui viene dimostrata la possibilità di attacco sfruttando questa nuova vulnerabilità. “Se i controller di dominio interessati non possono essere aggiornati, assicurarsi che vengano rimossi dalla rete”, afferma la direttiva CISA.
Microsoft è stata prontamente avvisata e ha rilasciato una patch per la vulnerabilità ( CVE-2020-1472 ) come parte degli aggiornamenti di sicurezza Patch Tuesday dell’11 agosto 2020 . Tuttavia, rimane un grosso problema, poiché i domini Windows possono ricevere accessi da altri sistemi operativi e dispositivi. Ciò significa che Microsoft deve lavorare ancora per eliminare la potenziale vulnerabilità. I dispositivi non Microsoft potrebbero non supportare questa patch e potrebbero comunque esporre il tuo dominio ad attacchi, ed è per questo che Microsoft imporrà l’utilizzo sicuro di RPC per gli account su dispositivi non Windows a febbraio 2021.
CSOonline offre molti altri suggerimenti per gli amministratori IT, inclusi script che possono essere utilizzati per rivedere parti dei registri degli eventi del server. Nel frattempo, non aspettare ancora per installare le patch.
Lascia un commento