Dopo il primo allarme lanciato lo scorso 23 settembre dalla CISA (la Cybersecurity and Infrastructure Security Agency americana), che aveva invitato tutte le agenzie federali USA ad adottare le necessarie soluzioni per proteggere i propri sistemi dalla vulnerabilità Zerologon, arriva ora il bollettino di sicurezza pubblicato dagli analisti del Microsoft Threat Intelligence Center: il gruppo hacker iraniano conosciuto come MuddyWater (ma anche con i nomi Mercury, SeedWorm e TEMP.Zagros) sta attivamente sfruttando la vulnerabilità in attacchi mirati.
L’APT iraniano, individuato per la prima volta nel 2017 e attivo almeno dal maggio dello stesso anno, è noto per aver preso di mira soprattutto entità mediorientali e asiatiche, concentrando la maggior parte degli attacchi su organizzazioni del settore delle telecomunicazioni, del governo (servizi informatici) e dell’industria petrolifera. Negli ultimi tempi, il gruppo hacker ha esteso gli attacchi anche ad entità di difesa e governative dell’Asia centrale e sud-occidentale, nonché a numerose aziende private e pubbliche del Nord America, dell’Europa e dell’Asia.
La vulnerabilità Zerologon, identificata nel protocollo di autenticazione Netlogon di Windows, potrebbe consentire ad un attaccante di assumere il controllo dei server e ottenere accesso come amministratore ai domain controller aziendali.
La vulnerabilità è stata confermata da Microsoft con un bollettino di sicurezza pubblicato nel Patch Tuesday di agosto e individuata nelle seguenti versioni Server di Windows:
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server, versione 1903
- Windows Server, versione 1909
- Windows Server, versione 2004
Alla luce degli attacchi condotti dagli hacker iraniani e della pubblicazione di ulteriori dettagli tecnici e strumenti per testare e replicare la falla, è importantissimo procedere immediatamente con l’installazione della patch ufficiale.
Indice degli argomenti
Zerologon, grave vulnerabilità nei sistemi Windows Server: i dettagli
Identificata come CVE-2020-1472 (con CVSS 10.0), la vulnerabilità Zerologon risiede nel protocollo di autenticazione con il Domain Controller Netlogon Remote Protocol (MS-NRPC).
Qualora un utente malintenzionato, ottenuto un punto di accesso alla rete interna dell’organizzazione target, riuscisse a sfruttare positivamente questa vulnerabilità, sarebbe in grado di assumere il pieno controllo dei server in esecuzione e di ottenere un accesso con privilegi di amministratore ai domain controller aziendali.
La vulnerabilità Zerologon è stata infatti identificata in ambiente Windows Active Directory, una tecnologia di rete utilizzata soprattutto dalle aziende Enterprise per amministrare le risorse di rete interne.
L’exploit della vulnerabilità Zerologon si basa su un’implementazione insicura dell’algoritmo di cifratura AES-CFB8 nel protocollo di autenticazione con il Domain Controller Netlogon Remote Protocol: in pratica, un attaccante potrebbe “costringere” i domain controller ad usare una comunicazione RPC non criptata quando si eseguono particolari richieste di autenticazione.
Così facendo, l’attaccante sarebbe in grado di manipolare le procedure di autenticazione mediante attacchi di tipo spoofing, acquisire i privilegi di amministratore e prendere il pieno controllo del dominio Active Directory, ottenendo di fatto un accesso come amministratore ai domain controller aziendali.
In questo modo, un attaccante potrebbe:
- impersonare l’identità di qualsiasi macchina su una rete target al momento dell’autenticazione sul domain controller;
- disabilitare le funzionalità di sicurezza nel processo di autenticazione Netlogon;
- modificare la password di un computer direttamente nell’Active Directory del domain controller;
e quindi, di conseguenza, fare ciò che vuole all’interno della rete compromessa: dal furto di dati riservati all’installazione di applicazioni non autorizzate, di malware e di ransomware sui PC collegati.
Come mitigare il rischio di un attacco
Come sottolinea lo CSIRT Italia, la denominazione della vulnerabilità Zerologon deriva dal fatto che l’attacco viene eseguito aggiungendo dei caratteri “zero” in alcuni dei parametri di autenticazione.
Inoltre, l’intera operazione può essere svolta in maniera molto rapida, all’incirca tre secondi.
Come dicevamo, Microsoft ha già rilasciato l’aggiornamento di sicurezza per correggere il bug Zerologon
Ricordiamo che Windows 10 è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, quindi non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità degli aggiornamenti Microsoft, è sufficiente cliccare sul pulsante Start, quindi spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.
Segnaliamo anche che i ricercatori di Secura che per primi hanno pubblicato i dettagli tecnici e gli strumenti per testare e replicare il bug, hanno anche rilasciato uno strumento gratuito che permette di verificare se il proprio domain controller è vulnerabile a Zerologon.
Infine, è utile segnalare anche che gli analisti di 0patch hanno creato una micropatch utile a tutti gli utenti che non possono applicare l’aggiornamento ufficiale di Windows per qualche motivo. Al momento, la micropatch è rivolta alle versioni di Windows Server 2008 R2, il cui supporto di sicurezza è terminato a gennaio e che quindi sono rimasti senza alcuna patch, ma prossimamente verranno rilasciati aggiornamenti anche per le altre versioni del sistema operativo. Maggiori dettagli nel post sul blog di 0patch.
Articolo pubblicato in data 16 settembre 2020 e aggiornato in seguito all’avviso di sicurezza diramato da Microsoft sugli attacchi cyber che stanno sfruttando attivamente la vulnerabilità Zerologon.
