L’agosto scorso Microsoft, in occasione del Patch Tuesday (il secondo martedì del mese in cui la software house pubblica i suoi aggiornamenti per la sicurezza) ha rilasciato una patch che va a correggere una importante falla di sicurezza denominata CVE-2020-1472, falla scoperta da una società olandese specializzata nella cybersecurity.
Questa società ha pubblicato un report dettagliato che spiega perché la vulnerabilità, nota come Zerologon, sia così pericolosa e come possa essere sfruttata per hackerare un controller di dominio.
Che cos’è Zerologon? Tutto quello che devi sapere su questa vulnerabilità critica
Zerologon è una grave vulnerabilità di sicurezza che consente a un potenziale hacker di manipolare le procedure di autenticazione tramite Netlogon. Questo attacco permette all’aggressore di impersonare qualsiasi dispositivo presente sulla rete aziendale, bypassando i processi di sicurezza durante l’autenticazione. Inoltre, l’hacker può modificare la password di accesso di un computer sul controller di dominio Active Directory (AD), ottenendo potenzialmente i privilegi di amministratore di dominio.
Il nome “Zerologon” deriva dalla tecnica utilizzata nell’attacco, che prevede l’inserimento di una serie di “0” all’interno di specifici parametri utilizzati nel processo di autenticazione via Netlogon. Questo exploit sfrutta una debolezza nel protocollo Netlogon, rendendolo particolarmente pericoloso per le reti aziendali.
Cos’è il protocollo Netlogon?
Il Netlogon Remote Protocol è un’interfaccia RPC (Remote Procedure Call) disponibile sui controller di dominio Windows. Questo protocollo è essenziale per diverse attività legate all’autenticazione di utenti e dispositivi, facilitando l’accesso ai server attraverso il protocollo NTLM (NT LAN Manager). NTLM è un protocollo di sicurezza Microsoft che garantisce autenticazione, integrità e riservatezza dei dati.
Tra le funzionalità principali di Netlogon vi è l’autenticazione delle risposte NTP (Network Time Protocol) e la possibilità per un computer di aggiornare la propria password all’interno del dominio. L’interfaccia RPC è accessibile tramite una porta TCP dinamica assegnata per il servizio del controller di dominio o attraverso una pipe SMB (Server Message Block) sulla porta 445, utilizzata per la comunicazione tra processi.
Perché Zerologon è così pericoloso?
Zerologon rappresenta una minaccia significativa perché sfrutta una vulnerabilità critica nel cuore dei sistemi di autenticazione Windows. Gli aggressori possono ottenere il controllo completo di un dominio, compromettendo la sicurezza dell’intera rete aziendale. Per questo motivo, è fondamentale applicare tempestivamente le patch di sicurezza rilasciate da Microsoft per mitigare il rischio.
Chi è a rischio Zerologon?
La vulnerabilità CVE-2020-1472 rappresenta un rischio per le aziende le cui reti sono basate sui controller di dominio su Windows: i malintenzionati possono bucare un DC basato su una qualsiasi versione di Windows Server 2019 o Windows Server 2016, compresi quindi Windows Server versione 1909, Windows Server versione 1903, Windows Server versione 1809 (edizioni Datacenter e Standard), Windows Server 2012 R2, Windows Server 2012, Windows Server 2012, o Windows Server 2008 R2 Service Pack 1.
Per portate a termine l’attacco, i cybercriminali devono innanzitutto inserirsi nella rete aziendale, cosa non insormontabile in quanto gli attacchi interni e l’accesso dalle prese Ethernet in locali accessibili al pubblico sono abbastanza comuni. La durata dell’attacco può essere molto breve, nell’ordine di 2-3 secondi.
Questo attacco può avere un impatto enorme: consente al potenziale attaccante di guadagnare l’accesso sulla rete locale di compromettere completamente il dominio Windows; può inoculare malware e ransomware sulla rete aziendale, utilizzando quest’ultima per la diffusione ulteriore del codice malevolo (e purtroppo ci sono grosse aziende in Italia attaccate rimaste vittima di tale vulnerabilità).
Patch Zerologon
La vulnerabilità Zerologon (CVE-2020-1472) ha una patch disponibile. Microsoft ha rilasciato degli aggiornamenti di sicurezza per risolvere questa vulnerabilità critica, che colpisce il protocollo Netlogon in Windows Server. La patch è stata distribuita a partire da Agosto 2020 come parte degli aggiornamenti mensili di sicurezza di Microsoft (Patch Tuesday).
Concludendo
Zerologon, come abbiamo detto prima, ha bisogno di partire da una macchina già all’interno della rete: è dovere dell’utente prestare la massima attenzione su come utilizza il pc e diffidare di mail sospette. Nexsys, azienda informatica di Verona, propone il corso di Cybesecurity Awareness con lo scopo di educare gli utenti ad un uso consapevole e responsabile dei mezzi informatici: aiuta i dipendenti a comprendere l’importanza di attivare pratiche di sicurezza informatica corrette, a individuare i potenziali rischi associati alle proprie azioni e a riconoscere gli attacchi informatici via e-mail e web.
