PATCH DI SICUREZZA ZEROLOGON
È stata soprannominata Zerologon la vulnerabilità confermata da Microsoft con un bollettino di sicurezza pubblicato nel Patch Tuesday di agosto e individuata nelle seguenti versioni Server di Windows:
-
Windows Server 2008 R2
-
Windows Server 2012
-
Windows Server 2012 R2
-
Windows Server 2016
-
Windows Server 2019
-
Windows Server, versione 1903
-
Windows Server, versione 1909
-
Windows Server, versione 2004
Poiché negli ultimi giorni sono stati pubblicati ulteriori dettagli tecnici e gli strumenti per testare e replicare la falla, è importantissimo procedere immediatamente con l’installazione della patch ufficiale.
Identificata come CVE-2020-1472 (con CVSS 10.0), la vulnerabilità Zerologon risiede nel protocollo di autenticazione con il Domain Controller Netlogon Remote Protocol (MS-NRPC).
Qualora un utente malintenzionato, ottenuto un punto di accesso alla rete interna dell’organizzazione target, riuscisse a sfruttare positivamente questa vulnerabilità, sarebbe in grado di assumere il pieno controllo dei server in esecuzione e di ottenere un accesso con privilegi di amministratore ai domain controller aziendali.
La vulnerabilità Zerologon è stata infatti identificata in ambiente Windows Active Directory, una tecnologia di rete utilizzata soprattutto dalle aziende Enterprise per amministrare le risorse di rete interne.
L’exploit della vulnerabilità Zerologon si basa su un’implementazione insicura dell’algoritmo di cifratura AES-CFB8 nel protocollo di autenticazione con il Domain Controller Netlogon Remote Protocol: in pratica, un attaccante potrebbe “costringere” i domain controller ad usare una comunicazione RPC non criptata quando si eseguono particolari richieste di autenticazione.
Così facendo, l’attaccante sarebbe in grado di manipolare le procedure di autenticazione mediante attacchi di tipo spoofing, acquisire i privilegi di amministratore e prendere il pieno controllo del dominio Active Directory, ottenendo di fatto un accesso come amministratore ai domain controller aziendali.
In questo modo, un attaccante potrebbe:
-
impersonare l’identità di qualsiasi macchina su una rete target al momento dell’autenticazione sul domain controller;
-
disabilitare le funzionalità di sicurezza nel processo di autenticazione Netlogon;
-
modificare la password di un computer direttamente nell’Active Directory del domain controller;