Con l’attacco Zerologon gli hacker mettono le mani sulle reti d’impresa

6/10/2020

Microsoft rilascia la patch a seguito di uno dei bug più potenti mai riscontrati.

In pochi sanno che il mese scorso Microsoft ha rilasciato una patch per contrastare uno dei bug più potenti mai segnalati all’azienda, un errore che può essere sfruttato per mettere facilmente le mani sui Windows Server che agiscono da domain controller nelle reti d’impresa.

Per contrastare il bug, era stata rilasciata una patch nell’agosto del 2020, con la denominazione CVE-2020-1472. Tale patch fu definita uno sfruttamento del privilege escalation in Netlogon, il protocollo che autentica gli utenti a dispetto dei domain controller.

Nella scala di gravità, il bug ricevette il punteggio di 10, ma non fu mai divulgato alcun dettaglio, il che significa che gli utenti e gli amministratori IT non sono mai venuti a conoscenza di quanto fosse pericoloso l’errore.

ACQUISIRE IL CONTROLLO DI UN DOMAIN CONTROLLER CON DEGLI ZERO-DAY

Tuttavia, in un post recente sul proprio blog, il team di Secura B.V., un’agenzia di sicurezza olandese, ha finalmente tolto il velo da questo bug misterioso e pubblicato un report tecnico che descrive nel particolare CVE-2020-1472.

In più, secondo il report, il bug merita il punteggio massimo sulla scala della gravità di CVSSv3.

Secondo gli esperti di Secura, il bug, da loro denominato Zerologon, sfrutta una falla dell’algoritmo crittografico utilizzato nel processo di autenticazione di Netlogon.

Tale bug consente a un attacker di manipolare le procedure di autenticazione di Netlogon e di:

  • Rubare l’identità di qualsiasi computer che naviga su una rete mentre tenta di autenticarsi contro il domain controller
  • Disabilitare le impostazioni di sicurezza nel processo di autenticazione di Netlogon
  • Modificare la password di un computer nell’Active Directory del domain controller (un database di ogni computer che fa parte di un domain e delle relative password)

Il concetto base e la ragione per la quale il bug è stato chiamato Zerologon derivano dal fatto che l’attacco è stato effettuato aggiungendo determinati caratteri zero in determinati parametri di autenticazione di Netlogon (vedi il grafico seguente).

Immagine: Secura

L’attacco è molto rapido, infatti può durare fino atre secondi massimo. Inoltre, non esistono limiti alla modalità in cui un attacker può lanciare un attacco Zerologon. Per esempio, l’attacker può fingersi il domain controller e modificare la password, consentendo così all’hacker di mettere le mani sull’intera rete d’impresa.

ACQUISIRE IL CONTROLLO DI UNA RETE D’IMPRESA IN TRE SECONDI

Sussistono delle limitazioni a come può essere lanciato un attacco di Zerologon. Per cominciare, non può essere impiegato per acquisire il controllo di Windows Servers dall’esterno della rete. Prima, un attacker necessita di un appoggio all’interno.

Detto ciò, una volta che l’attacker trova questo appoggio, non c’è letteralmente nulla che l’azienda attaccata possa fare.

“Questo attacco ha un impatto enorme”, dichiara il team di Secura. “In pratica, consente a ogni attacker di una rete locale (come per esempio un addetto ai lavori malintenzionato o semplicemente qualcuno che abbia inserito un dispositivo che agisce da porta di rete on premise) di compromettere completamente il Windows domain.

Inoltre, questo bug costituisce una manna dal cielo per malware e ransomware che spesso infettano prima un computer all’interno della rete aziendale, “infezione” che si diffonde agli altri, uno ad uno. Con Zerologon questo compito è stato reso facilissimo.

PATCH DISPONIBILI; NE ARRIVERANNO ALTRE

Non è stato affatto facile per Microsoft rilasciare una patch per Zerologon in quanto l’azienda ha dovuto modificare la modalità in cui miliardi di dispositivi si connettono alle reti d’impresa, andando perciò a disturbare effettivamente le operazioni di innumerevoli compagnie.

Questo processo di rilascio delle patch dovrebbe avvenire in due fasi. La prima ha avuto luogo ad Agosto 2020, quando Microsoft ha rilasciato un fix temporaneo contro l’attacco Zerologon.

Questa patch temporanea ha reso le impostazioni di sicurezza di Netlogon (che Zerologon stava disabilitando) obbligatorie per ogni autenticazione di Netlogon, infrangendo così effettivamente qualsiasi tentativo di attacco di Zerologon.

Tuttavia, è previsto il rilascio di una patch più completa per Febbraio 2021, nel caso in cui gli attacker trovino il modo di aggirare le patch di Agosto. Sfortunatamente, Microsoft ha anticipato che questa patch di febbraio finirà per guastare il processo di autenticazione di alcuni dispositivi. Ecco alcuni dettagli sulla seconda patch.

Gli attacchi tramite Zerologon sono un dato di fatto a causa della potenza e del vasto impatto del bug, oltre che ai benefici per gli attacker.

Secura non ha ancora rilasciato un codice proof-of-concept per contrastare l’attacco armato di Zerologon, ma l’agenzia si aspetta che questo avvenga finalmente a seguito della pubblicazione del report.

Nel frattempo, l’agenzia ha rilasciato invece uno script in Python che comunica agli amministratori se il loro domain controller ha completato l’installazione della patch correttamente.

Ultimo aggiornamento per aggiungere che, come da previsioni, il codice proof-of-concept è stato reso disponibile online al pubblico, il che significa che ora è possibile contrastare il bug.

Se la tua infrastruttura utilizza un sistema Microsoft Windows Server, non esitare a contattarci per verificare lo stato della vulnerabilità sulla tua rete.

Rendi sicura la tua rete con Lanpartners

--

Crediti: Il seguente articolo ha il solo scopo divulgativo ed è il risultato di una traduzione e ri-adattamento dell'articolo orginale di cui tutti i diritti sono riservati all'autore Catalin Cimpanu.