L’agosto scorso Microsoft, in occasione del Patch Tuesday (il secondo martedì del mese in cui la software house pubblica i suoi aggiornamenti per la sicurezza) ha rilasciato una patch che va a correggere una importante falla di sicurezza denominata CVE-2020-1472, falla scoperta da una società olandese specializzata nella cybersecurity.
Questa società ha pubblicato un report dettagliato che spiega perché la vulnerabilità, nota come Zerologon, sia così pericolosa e come possa essere sfruttata per hackerare un controller di dominio.
Che cos’è Zerologon?
Zerologon permette ad un potenziale hacker di modificare le procedure di autenticazione via Netlogon a proprio vantaggio, in modo da figurare come una qualsiasi macchina presente sulla rete dell’azienda, quindi disabilitare i processi di sicurezza nel processo di autenticazione: Può anche cambiare la password di accesso di un computer sul controller di dominio Active Directory.
Spacciandosi per qualcun altro, il malintenzionato può verosimilmente ottenere le autorizzazioni di amministratore di dominio. Il nome Zerologon deriva dal fatto che l’attacco può essere praticato aggiungendo una serie di “0” all’interno di alcuni parametri utilizzati nell’autenticazione via Netlogon.
Netlogon
Il Netlogon Remote Protocol è una interfaccia RPC disponibile sui controller di dominio Windows. Viene utilizzato per varie attività relative all’autenticazione di utenti e macchine, per facilitare l’accesso degli utenti ai server utilizzando il protocollo NTLM, protocollo di sicurezza Microsoft che fornisce autenticazione, integrità e confidenzialità agli utenti.
Altra caratteristica consiste nell’autenticazione delle risposte NTP e in particolare: consentire a un computer di aggiornare la propria password all’interno del dominio. L’interfaccia RPC è disponibile su TCP tramite una porta dinamica allocata per l’acquisto del servizio del controller di dominio o tramite una pipe SMB, una comunicazione tra processi, sulla porta 445.
Chi è a rischio?
La vulnerabilità CVE-2020-1472 rappresenta un rischio per le aziende le cui reti sono basate sui controller di dominio su Windows: i malintenzionati possono bucare un DC basato su una qualsiasi versione di Windows Server 2019 o Windows Server 2016, compresi quindi Windows Server versione 1909, Windows Server versione 1903, Windows Server versione 1809 (edizioni Datacenter e Standard), Windows Server 2012 R2, Windows Server 2012, Windows Server 2012, o Windows Server 2008 R2 Service Pack 1.
Per portate a termine l’attacco, i cybercriminali devono innanzitutto inserirsi nella rete aziendale, cosa non insormontabile in quanto gli attacchi interni e l’accesso dalle prese Ethernet in locali accessibili al pubblico sono abbastanza comuni. La durata dell’attacco può essere molto breve, nell’ordine di 2-3 secondi.
Questo attacco può avere un impatto enorme: consente al potenziale attaccante di guadagnare l’accesso sulla rete locale di compromettere completamente il dominio Windows; può inoculare malware e ransomware sulla rete aziendale, utilizzando quest’ultima per la diffusione ulteriore del codice malevolo (e purtroppo ci sono grosse aziende in Italia attaccate rimaste vittima di tale vulnerabilità).
Tempistiche
Il tempo medio che passa dal rilascio della patch all’installazione molto lungo. Secondo uno studio, gli studiosi affermano che in un’azienda media ci vogliono dai 60 ai 150 giorni (circa 5 mesi) dopo il rilascio di una patch affinché sia finalmente installata. Questo tempo è noto come il tempo medio di applicazione della patch (Mean Time to Patch, MTTP).
Tuttavia, il processo di applicazione è composto da due fasi e Microsoft rilascerà la seconda fase della patch, che comprenderà la fase di applicazione, il 9 febbraio 2021. A quella data, tutti i dispositivi saranno tenuti a utilizzare la modalità canale sicuro e, in caso contrario, sarà loro negato l’accesso. In caso di dispositivi non conformi più vecchi, questi dovranno essere aggiunti manualmente a una policy di gruppo creata apposta che permetta esplicitamente l’accesso ai dispositivi più obsoleti.
Attualmente ci sono più exploit PoC pubblici (ossia un attacco contro un computer o una rete che viene eseguito solo per dimostrare che può essere fatto; di solito non causa alcun danno, ma mostra come un hacker può trarre vantaggio da una vulnerabilità nel software o eventualmente nell’hardware) e nel caso le patch non venissero applicate ai server di active directory, le aziende potrebbero subire gravi danni, in quanto l’attacco potrebbe essere utilizzato per iniettare ransomware ed altro software malevolo in una rete.
Esistono degli strumenti per verificare se i propri server sono vulnerabili. Secura, questo il nome della società che ha scoperto l’exploit, ha rilasciato uno strumento su GitHub per verificare che i controller di dominio siano dotati delle patch o scoprire se sono vulnerabili.
Concludendo
Zerologon, come abbiamo detto prima, ha bisogno di partire da una macchina già all’interno della rete: è dovere dell’utente prestare la massima attenzione su come utilizza il pc e diffidare di mail sospette. Nexsys, azienda informatica di Verona, propone il corso di Cybesecurity Awareness con lo scopo di educare gli utenti ad un uso consapevole e responsabile dei mezzi informatici: aiuta i dipendenti a comprendere l’importanza di attivare pratiche di sicurezza informatica corrette, a individuare i potenziali rischi associati alle proprie azioni e a riconoscere gli attacchi informatici via e-mail e web.