Era solo questione di tempo e dopo le prime avvisaglie verso la fine di settembre, Zerologon sta veramente cominciando a essere usato in maniera massiccia e devastante dai criminal hacker: a cogliere l’opportunità di sfruttare questa vulnerabilità che permette l’escalation dei privilegi sono stati i membri del gruppo Ryuk – autori dell’omonimo ransomware. Così facendo sono riusciti a portare il ciclo completo dei loro attacchi a sole cinque ore dall’invio della prima mail di phishing alla completa cifratura dei sistemi bersaglio.
Questa velocità, francamente spaventosa, è proprio frutto della CVE-2020-1472 – appunto detta Zerologon – che viene sfruttata immediatamente dopo l’invio della prima e-mail di phishing (a patto che questa abbia successo, ovviamente).
La vulnerabilità Zerologon consente a un aggressore non autenticato – con accesso di rete a un domain controller – di compromettere completamente tutti i servizi dell’Active Directory, secondo Microsoft.
Per questa criticità l’azienda ha provveduto a pubblicare una patch in agosto, ma molte organizzazioni rimangono vulnerabili.
In questo particolare attacco di Ryuk, dopo che gli aggressori hanno elevato i loro privilegi utilizzando Zerologon, hanno utilizzato una varietà di strumenti di base come Cobalt Strike, AdFind, WMI e PowerShell per raggiungere il loro obiettivo.
Indice degli argomenti
Zerologon e Ryuk: l’inizio dell’attacco
Secondo quanto riportato da un gruppo di ricercatori, l’attacco è iniziato con una e-mail di phishing contenente una versione del loader Bazar.
Da lì, gli aggressori hanno eseguito una mappatura di base del dominio, utilizzando utility di Windows come Nltest.
Tuttavia, avevano bisogno di aumentare i loro privilegi per sperare di ottenere un livello di controllo significativo, così hanno sfruttato Zerologon.
Grazie a questa vulnerabilità i criminal hacker sono stati in grado di reimpostare la password del domain controller primario.
Poi, si sono spostati lateralmente al domain controller secondario continuando ad usare nel frattempo Net e il modulo PowerShell Active Directory.
La fase di movimento laterale all’interno della rete ha avuto inizio tramite l’esecuzione attraverso SMB e Windows Management Instrumentation dei beacon di Cobalt Strike; il tool dual use che viene usato frequentemente da ethical e criminal hacker per le fasi di exploitation e post-expoitation.
Una volta raggiunto il domain controller principale, i criminal hacker hanno eseguito un altro beacon di Cobalt Strike.
L’analisi forense dell’attacco ha rivelato che ci sono volute circa quattro ore e dieci minuti per ottenere questo livello di accesso e connettersi all’RDP.
Dopo questo step è stata effettuata un’ulteriore ricognizione del dominio utilizzando AdFind. Una volta completata questa operazione, i criminal hacker erano pronti per il loro obiettivo finale: il ransomware.
Zerologon e Ryuk: il cerchio è completo
Per la fase finale dell’attacco, gli operatori Ryuk hanno innanzitutto distribuito il loro .exe ransomware sui server di backup.
Successivamente il malware è stato scaricato su altri server dell’ambiente di produzione e quindi sulle workstation.
Ryuk è un malware altamente attivo, responsabile di una serie di recenti attacchi di alto profilo, tra cui un attacco che ha fatto chiudere la Universal Health Services (UHS), una delle 500 aziende Fortune-500 americane attive nell’ambito della sanità.
L’uso di Zerologon ha reso gli sforzi dei criminal hacker molto più semplici, dato che l’attacco non aveva bisogno di essere mirato a un utente ad alto privilegio che probabilmente avrebbe avuto più controlli di sicurezza.
Infatti, la parte più dura della campagna è stata l’inizio dell’attacco – l’installazione di Bazar dall’e-mail di phishing iniziale, che ha richiesto l’interazione dell’utente.
I ricercatori hanno notato che l’utente era un utente di dominio e non aveva altri permessi – ma questo si è rivelato un non-problema, grazie a Zerologon.
Testimonianza di come ora più che mai sia diventato imperativo investire in corsi di formazione e awareness nei confronti della minaccia costituita dal phishing.
Zerologon, il nuovo grande exploit?
Questo caso è emblematico di come Zerologon stia rapidamente salendo in cima alla lista degli exploit preferiti dai criminal hacker e di quanto possa essere temibile.
La settimana scorsa, negli Stati Uniti, i funzionari del governo hanno avvertito che gruppi di APT stanno sfruttando il bug per colpire i sistemi di supporto alle elezioni.
Ciò è avvenuto pochi giorni dopo che Microsoft ha lanciato l’allarme in merito ad un altro gruppo APT, MERCURY (noto anche come MuddyWater, Static Kitten e Seedworm), che stava attivamente sfruttando questa vulnerabilità.
Come se non bastasse, da settembre in poi, la posta in gioco è diventata ancora più alta, quando sono stati rilasciati su GitHub quattro exploit a prova di bomba per lo sfruttamento di Zerologon.
Potremmo essere veramente davanti alla cyber minaccia più pericolosa di questo 2020: non abbassiamo la guardia.
