Zerologon – Ovvero diventa amministratore di dominio su server Microsoft aggirando la crittografia del protocollo NetLogon. (CVE-2020-1472)
Senza che se ne desse troppa importanza mediatica, ad agosto Microsoft ha corretto uno dei bug più gravi su Windows mai segnalati all’azienda. La falla è stata corretta con il Patch Tuesday di agosto, attraverso un fix segnalato con l’identificativo CVE-2020-1472: nei documenti di supporto si legge che il bug avrebbe permesso una “elevazione di privilegi” su Netlogon, il protocollo che autentica gli utenti rispetto ai controller di dominio. La vulnerabilità ha ottenuto il livello di gravità massimo (10), ma dettagli specifici non son stati resi pubblici fino alle scorse ore.
Oltre al giudizio di Microsoft, insomma, utenti e admin IT non hanno mai saputo quanto fosse realmente grave il problema, che avrebbe concesso a un potenziale aggressore di prendere facilmente il controllo su un sistema Windows Server, anche addirittura interagendo come controller di dominio all’interno di reti aziendali.
A fare chiarezza è stato un team di ricercatori di sicurezza olandesi, che ha pubblicato un rapporto tecnico in cui descrive CVE-2020-1472 in modo più approfondito. Secondo il team olandese il bug, denominato Zerologon, è davvero degno del suo punteggio di gravità CVSSv3 10/10 e sfrutta l’algoritmo crittografico (considerato debole) utilizzato nel processo di autenticazione di Netlogon.
La falla, nella fattispecie, consente ad un attaccante di manipolare a proprio vantaggio le procedure di autenticazione via Netlogon, cosicché possa fingersi una qualsiasi macchina presente sulla rete, possa disabilitare le feature di sicurezza nel processo di autenticazione o cambiare la password di accesso di un computer sul controller di dominio Active Directory. Il nome Zerologon dato dai ricercatori olandesi è dovuto al fatto che l’attacco può essere praticato aggiungendo una serie di “0” all’interno di alcuni parametri utilizzati nell’autenticazione via Netlogon.
La durata dell’attacco può essere estremamente breve, anche di soli tre secondi, con Zerologon che pone pochissimi limiti all’aggressore. Ad esempio quest’ultimo può fingere di essere il controller di dominio stesso, e modificare anche la propria password, operazione che offre all’aggressore il controllo di tutta la rete aziendale. Fra i limiti, però, ce n’è uno estremamente importante: Zerologon non può essere utilizzato per attaccare reti se non si è già collegati con le stesse, tuttavia basta rispettare quest’unica richiesta, che la rete risulta facilmente espugnabile.
“Questo attacco può avere un impatto enorme”, ha dichiarato Secura. “Consente a qualsiasi aggressore sulla rete locale di compromettere completamente il dominio Windows”. Sfruttandolo, inoltre, l’aggressore può inoculare malware e ransomware sulla rete aziendale, utilizzando quest’ultima per la diffusione ulteriore del codice malevolo (ci sono grosse aziende in italia attaccate sfruttando questa vulnerabilità).
Ci sono anche buone notizie, chiaramente: la prima patch correttiva dovrebbe già essere stata installata sulla maggior parte dei computer in circolazione. Il suo processo di applicazione è composto da due fasi: una avvenuta il mese scorso con un fix temporaneo che rende obbligatorie per l’accesso su tutte le reti le feature di sicurezza di Netlogon che l’attacco va ad insidiare, mentre la patch completa è prevista per febbraio 2021 e sarà utile se l’exploit verrà sfruttato attivamente.
Microsoft prevede che la prossima patch possa negare la possibilità di autenticazione su alcuni dispositivi, ma Zerologon può rappresentare un pericolo vero e proprio per le realtà aziendali, e i vantaggi nel farlo a favore di enti malevoli possono essere molteplici. Questo è ancor più vero per il fatto che è già disponibile pubblicamente il codice proof-of-concept di un exploit che sfrutta Zerologon, quindi la vulnerabilità è aperta a tutti coloro che vogliono sfruttarla. Secura ha comunque rilasciato uno script Python utile per gli amministratori IT che consente di individuare se il proprio controller di dominio ha ricevuto i fix rilasciati da Microsoft e se è al sicuro.
Microsoft link patch: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472
Fonte: Hwupgrade