Microsoft lancia l’allarme su una vulnerabilità relativa a Windows Server che sta venendo utilizzata da diversi gruppi di cyber criminali per realizzare attacchi mirati. Questa vulnerabilità può consentire a un malintenzionato di sfruttare l’algoritmo crittografico utilizzato nel processo Netlogon di Microsoft e di impersonare l’identità di qualsiasi computer al momento di autenticarsi con il controller di dominio.
Cos’è Zerologon
Zerologon (CVE-2020-1472) è una falla di sicurezza individuata dalla società di sicurezza olandese Secura e resa pubblica lo scorso 11 settembre in un report sul blog della società: la vulnerabilità consente di effettuare un’elevazione di privilegi in Windows Server e sul Web circolano diversi exploit per sfruttarla.
Il bug affligge il sistema di autenticazione Microsoft Netlogon e consente, in pratica, di ottenere l’accesso con credenziali di amministratore all’interno di un dominio Active Directory, prendendone il controllo. Si chiama Zerologon a causa del difetto nel processo di logon in cui tutti gli elementi del vettore di inizializzazione (Initialization Vector, IV) sono impostati a zero per tutto il tempo invece che essere sempre costituito da un numero casuale.
A questa pericolosa vulnerabilità è associato un livello di gravità di 10 su 10 (CVSS v3.1) del Common Vulnerability Scoring System (CVSS).
La prima agenzia governativa ad intervenire sul problema è stata la Cybersecurity and Infrastructure Security Agency, che ha sollecitato tutte le agenzie federali negli USA a proteggere i sistemi da Zerologon entro la giornata del 23 settembre. Successivamente è intervenuta Microsoft, specificando che la vulnerabilità è usata da numerosi gruppi di pirati informatici per portare attacchi a sistemi aziendali.
Come funziona
Come segnala Sicura, il problema sta nelle modalità di implementazione del sistema crittografico AES-128-CFB8: l’algoritmo, infatti, è stato utilizzato in una versione semplificata creando un difetto crittografico nell’Active Directory Netlogon Remote Protocol di Microsoft (MS-NRPC) che consente agli utenti di accedere ai server che utilizzano NTLM (NT LAN Manager). La criticità maggiore di questa vulnerabilità è che MS-NRPC viene utilizzato anche per trasmettere specifiche modifiche dell’account, come ad esempio le password degli account dei servizi del computer. Di fatto, un pirata informatico può “ingannare” Netlogon semplicemente inviando una richiesta di collegamento in cui i dati per la creazione della chiave crittografica è composta da soli zero.
A causa delle impostazioni di AES-128-CFB8 in Netlogon, infatti, la Netlogon Credential Computation che permette l’autenticazione sarà composta di soli zero con una probabilità di una volta su 256; abbastanza per avviare un attacco di brute forcing che permette di ottenere l’accesso come amministratore.
Il limite di Zerologon è che non può essere utilizzato per attaccare reti se non si è già collegati con le stesse, tuttavia basta superare questo piccolo ostacolo per procurare danni ingenti e sfruttare il limite a proprio vantaggio inoculando malware e ransomware direttamente sulla rete aziendale e utilizzandola per la diffusione ulteriore del codice malevolo.
Criticità principali
Su Internet sono comparsi nel giro di pochi giorni numerosi PoC (Proof of Concept) che permettono di sfruttare la falla di sicurezza in maniera piuttosto elementare: l’allarme lanciato da Microsoft, quindi, conferma che gruppi di cyber criminali in particolare Afgani stanno attivamente utilizzando gli exploit.
La criticità principale risiede nella mancanza di una soluzione completa: la patch attualmente disponibile, distribuita ad agosto, consente ai controller di dominio di proteggere i dispositivi, ma è necessaria una seconda patch, prevista al momento per il primo trimestre del 2021, per rafforzare il Remote Procedure Call (RPC) di Netlogon e risolvere completamente la vulnerabilità. Dopo aver applicato la patch, si dovranno comunque apportare modifiche al controller di dominio, per le quali Microsoft ha pubblicato delle linee guida per aiutare gli amministratori a scegliere le impostazioni di sicurezza corrette.
Preoccupa, in questo caso, l’abituale inerzia nell’esecuzione delle operazioni di patch all’interno delle aziende che fa ipotizzare che molti sistemi siano ancora vulnerabili.
I ricercatori di Secura, come prima azione di protezione, hanno rilasciato uno strumento gratuito che permette di verificare se il proprio domain controller è vulnerabile a Zerologon.
