È stata soprannominata Zerologon la vulnerabilità confermata da Microsoft con un bollettino di sicurezza pubblicato nel Patch Tuesday di agosto e individuata nelle seguenti versioni Server di Windows:

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server, versione 1903
  • Windows Server, versione 1909
  • Windows Server, versione 2004

Poiché negli ultimi giorni sono stati pubblicati ulteriori dettagli tecnici e gli strumenti per testare e replicare la falla, è importantissimo procedere immediatamente con l’installazione della patch ufficiale.

Zerologon, grave vulnerabilità nei sistemi Windows Server: i dettagli

Identificata come CVE-2020-1472 (con CVSS 10.0), la vulnerabilità Zerologon risiede nel protocollo di autenticazione con il Domain Controller Netlogon Remote Protocol (MS-NRPC).

Qualora un utente malintenzionato, ottenuto un punto di accesso alla rete interna dell’organizzazione target, riuscisse a sfruttare positivamente questa vulnerabilità, sarebbe in grado di assumere il pieno controllo dei server in esecuzione e di ottenere un accesso con privilegi di amministratore ai domain controller aziendali.

La vulnerabilità Zerologon è stata infatti identificata in ambiente Windows Active Directory, una tecnologia di rete utilizzata soprattutto dalle aziende Enterprise per amministrare le risorse di rete interne.

L’exploit della vulnerabilità Zerologon si basa su un’implementazione insicura dell’algoritmo di cifratura AES-CFB8 nel protocollo di autenticazione con il Domain Controller Netlogon Remote Protocol: in pratica, un attaccante potrebbe “costringere” i domain controller ad usare una comunicazione RPC non criptata quando si eseguono particolari richieste di autenticazione.

Così facendo, l’attaccante sarebbe in grado di manipolare le procedure di autenticazione mediante attacchi di tipo spoofing, acquisire i privilegi di amministratore e prendere il pieno controllo del dominio Active Directory, ottenendo di fatto un accesso come amministratore ai domain controller aziendali.

In questo modo, un attaccante potrebbe:

  • impersonare l’identità di qualsiasi macchina su una rete target al momento dell’autenticazione sul domain controller;
  • disabilitare le funzionalità di sicurezza nel processo di autenticazione Netlogon;
  • modificare la password di un computer direttamente nell’Active Directory del domain controller;

e quindi, di conseguenza, fare ciò che vuole all’interno della rete compromessa: dal furto di dati riservati all’installazione di applicazioni non autorizzate, di malware e di ransomware sui PC collegati.

Come mitigare il rischio di un attacco

Storage: aumentare prestazioni, scalabilità ed efficienza a costi contenuti

Come sottolinea lo CSIRT Italia, la denominazione della vulnerabilità Zerologon deriva dal fatto che l’attacco viene eseguito aggiungendo dei caratteri “zero” in alcuni dei parametri di autenticazione.

Inoltre, l’intera operazione può essere svolta in maniera molto rapida, all’incirca tre secondi.

Come dicevamo, Microsoft ha già rilasciato l’aggiornamento di sicurezza per correggere il bug Zerologon

Ricordiamo che Windows 10 è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, quindi non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.

Per verificare subito la disponibilità degli aggiornamenti Microsoft, è sufficiente cliccare sul pulsante Start, quindi spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.

In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.

Infine, segnaliamo che i ricercatori di Secura che hanno pubblicato i dettagli tecnici e gli strumenti per testare e replicare il bug, hanno anche rilasciato uno strumento gratuito che permette di verificare se il proprio domain controller è vulnerabile a Zerologon.

@RIPRODUZIONE RISERVATA



Source link

Write a comment:
*

Your email address will not be published.