Bug gravissimo su Windows Server: è uno dei peggiori mai segnalati a Microsoft

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sistem...oft_92033.html

Il bug dimostrato dai ricercatori di Secura si chiama Zerologon, è estremamente grave e dimostra i motivi per cui è sempre d'obbligo mantenere il proprio PC aggiornato

Click sul link per visualizzare la notizia.

[Cfranco]

Quote:

possa fingersi una qualsiasi macchina presente sulla rete, possa disabilitare le feature di sicurezza nel processo di autenticazione o cambiare la password di accesso di un computer sul controller di dominio Active Directory

Manca solo l'invasione delle cavallette

[matrix83]

Windows 10 o Windows Server? Perchè sono due cose diverse.

[igiolo]

Quote:

Originariamente inviato da matrix83

Windows 10 o Windows Server? Perchè sono due cose diverse.

beh entrambe ovviamente
gli handshake client server
come sempre grazie hwupgrade x dare risalto a queste info.
ma non esistono update ad oggi giusto?

[igiolo]

mi rispondo da solo

https://portal.msrc.microsoft.com/en.../CVE-2020-1472

[matrix83]

Quote:

Originariamente inviato da igiolo

beh entrambe ovviamente
gli handshake client server
come sempre grazie hwupgrade x dare risalto a queste info.
ma non esistono update ad oggi giusto?

No è solo Windows server. https://portal.msrc.microsoft.com/en.../CVE-2020-1472
Come al solito su HWup scrivono news senza manco sapere di cosa parlano.

[igiolo]

Quote:

Originariamente inviato da matrix83

No è solo Windows server. https://portal.msrc.microsoft.com/en.../CVE-2020-1472
Come al solito su HWup scrivono news senza manco sapere di cosa parlano.

ma no dai ce ne fossero che parlano di queste cose.
è tra client server, con fix lato server

[*Pegasus-DVD*]

buuuuuuuuuuuuuuuuuuuuuuuuuuggggggggggggggggggggggggg

[lammoth]

oh my god, il mondo sta per finire!

ah no è già stato patchato

[allmaster]

ma se non ho capito male deve essere un PC del dominio a lanciare l'attacco o basta che sia connesso alla stessa rete?

Come sarebbe febbraio 2021?

[Busone di Higgs]

Tre giorni di lavoro per rientrare del danni fatti da un ransomware che ha sfruttato questa falla, pero' non e' la prima volta che ci capita ed eravamo preparati; le tecniche che hanno usato fanno impallidire i ransomware degli anni scorsi; il riscatto richiestoci era di 200 mila dollari.
In breve, dopo un a serie di attacchi pishing fra allegati falsi e link a payload compromessi, qualcuno s'e' fatto fregare e ha aperto un documento infetto in azienda; le mail erano confezionate a regola d'arte e sembravano arrivare dai nostri clienti o fornitori, ne sono arrivati a iosa nei giorni scorsi.
Han preso il controllo del nostro server di dominio, se le date son corrette e' accaduto a inizio settembre ma la data potrebbe essere stata falsificata per far apparire i files come vecchi; il server di dominio disattivava gli antivirus tramite active directory e facevano il deploy di un eseguibile in molto punti del disco, in autorun di tutti gli utenti ed ogni exe aveva nome, posizione e dimensione variabile; non era il criptolocker vero e proprio; su windows 7 creava delle liste di esclusione in microsoft essentials.
Alle 18 tutti vanno a casa ma i pc rimangono accesi; poco dopo il server di dominio oppure l'eseguibile installato hanno creato ed eseguito su tutte le macchine un batch che ha scaricato un eseguibile e una dll su c:\windows e li ha mandati in esecuzione, il nomi cambiano a seconda delle aziende, questo e' il vero e proprio cryptovirus che verso la notte ha avviato la crittazione dei files nell'intero disco ; gli antivirus non hanno agito, probabilmente disattivati nuovamente dal server server di dominio.
Alla luxottica pensiamo abbiano subito lo stesso attacco e' hanno avuto sfortuna a giudicare dalle nes, al nostro sistema le operazioni di scrittura non sono passate inosservate.....
La pulizia delle macchine non e' terminata, non sappiamo quando terminera' anche perche' saltano fuori continuamente modifiche, speriamo di concludere anche perche' la procedura di pulizia si sta rivelando lunga.
Windows7 e' uscito quasi indenne, non siamo certi del motivo esatto.
Win10 e' stato il piu' colpito; la quantita' di estensioni compromesse e' enorme, abbiamo dovuto reinstallare alcune macchine perche' non valeva la pena di recuperarle, i rimanenti pc col vecchio xp nemmeno partono, reparti produttivi e altre societa' nell'azienda, hanno le loro reti ben separate, nessun danno.
I server erano gia' pronti all'attacco fra dummy files e backups periodici e praticamente nulla e' stato perso.
La posta era backuppata e pure i software aziendali, mezza giornata di dati perduti.
Rimangono dei dubbi sul fatto che possano aver rubato dati aziendali sensibili dato che avevano le mail di fornitori e clienti, ma i dati piu' sensibili hanno un metodo di gestione differente.
L'unica soddisfazione dopo 3 giorni di lavoro intenso e' che hanno lavorato giorni e giorni per tenderci la trappola, e non so cosa gli sia costato, ma non hanno fatto tutto per niente; non ho idea delle altre aziende, abbiamo solo dei riscontro nei forum dedicati che confermano che altre aziende sono coinvolte senza tuttavia conoscere l'entita' dei danni.
E per ora mi femo che son stufo di scrivere, vista anche la giornata impegnativa.

[zappy]

Quote:

Originariamente inviato da Busone di Higgs

Tre giorni di lavoro per rientrare del danni fatti da un ransomware

grazie delle info

[JulianCarax89]

Quote:

Originariamente inviato da Busone di Higgs

Tre giorni di lavoro per rientrare del danni fatti da un ransomware che ha sfruttato questa falla, pero' non e' la prima volta che ci capita ed eravamo preparati; le tecniche che hanno usato fanno impallidire i ransomware degli anni scorsi; il riscatto richiestoci era di 200 mila dollari.
In breve, dopo un a serie di attacchi pishing fra allegati falsi e link a payload compromessi, qualcuno s'e' fatto fregare e ha aperto un documento infetto in azienda; le mail erano confezionate a regola d'arte e sembravano arrivare dai nostri clienti o fornitori, ne sono arrivati a iosa nei giorni scorsi.
Han preso il controllo del nostro server di dominio, se le date son corrette e' accaduto a inizio settembre ma la data potrebbe essere stata falsificata per far apparire i files come vecchi; il server di dominio disattivava gli antivirus tramite active directory e facevano il deploy di un eseguibile in molto punti del disco, in autorun di tutti gli utenti ed ogni exe aveva nome, posizione e dimensione variabile; non era il criptolocker vero e proprio; su windows 7 creava delle liste di esclusione in microsoft essentials.
Alle 18 tutti vanno a casa ma i pc rimangono accesi; poco dopo il server di dominio oppure l'eseguibile installato hanno creato ed eseguito su tutte le macchine un batch che ha scaricato un eseguibile e una dll su c:\windows e li ha mandati in esecuzione, il nomi cambiano a seconda delle aziende, questo e' il vero e proprio cryptovirus che verso la notte ha avviato la crittazione dei files nell'intero disco ; gli antivirus non hanno agito, probabilmente disattivati nuovamente dal server server di dominio.
Alla luxottica pensiamo abbiano subito lo stesso attacco e' hanno avuto sfortuna a giudicare dalle nes, al nostro sistema le operazioni di scrittura non sono passate inosservate.....
La pulizia delle macchine non e' terminata, non sappiamo quando terminera' anche perche' saltano fuori continuamente modifiche, speriamo di concludere anche perche' la procedura di pulizia si sta rivelando lunga.
Windows7 e' uscito quasi indenne, non siamo certi del motivo esatto.
Win10 e' stato il piu' colpito; la quantita' di estensioni compromesse e' enorme, abbiamo dovuto reinstallare alcune macchine perche' non valeva la pena di recuperarle, i rimanenti pc col vecchio xp nemmeno partono, reparti produttivi e altre societa' nell'azienda, hanno le loro reti ben separate, nessun danno.
I server erano gia' pronti all'attacco fra dummy files e backups periodici e praticamente nulla e' stato perso.
La posta era backuppata e pure i software aziendali, mezza giornata di dati perduti.
Rimangono dei dubbi sul fatto che possano aver rubato dati aziendali sensibili dato che avevano le mail di fornitori e clienti, ma i dati piu' sensibili hanno un metodo di gestione differente.
L'unica soddisfazione dopo 3 giorni di lavoro intenso e' che hanno lavorato giorni e giorni per tenderci la trappola, e non so cosa gli sia costato, ma non hanno fatto tutto per niente; non ho idea delle altre aziende, abbiamo solo dei riscontro nei forum dedicati che confermano che altre aziende sono coinvolte senza tuttavia conoscere l'entita' dei danni.
E per ora mi femo che son stufo di scrivere, vista anche la giornata impegnativa.

IDEM anche per noi.
Da noi l'attacco è stato scagliato il 16 settembre mentre la criptazione è avvenuta mercoledì 23 di sera tardi. Fortunatamente molti PC erano spenti, solo 6 sono risultati infetti.
Hanno recuperato le credenziali di un utente admin, sono saliti fino al domain controller e hanno tentato di lanciare l'installazione del criptolocker in tutti i pc di dominio opportunamente salvati in un file di testo.
Il virus era un .dll offuscato, Webroot si è accorto che qualcosa stava succedendo ma non è riuscito a fermare la crittazione... Hanno portato a segno un databreach usando i protocolli di Skype, non sono riusciti a disabilitare il firewall che da noi è fisico.
Fortunatamente è successo di sera e non in orario lavorativo e abbiamo perso solo un giorno lavorativo.

Il riscatto era di 1.8 milioni per noi. Sono fuori di cervello

[aqua84]

Quote:

Originariamente inviato da Busone di Higgs

Tre giorni di lavoro per rientrare del danni fatti da un ransomware che ha sfruttato questa falla, pero' non e' la prima volta che ci capita ed eravamo preparati; le tecniche che hanno usato fanno impallidire i ransomware degli anni scorsi; il riscatto richiestoci era di 200 mila dollari.
In breve, dopo un a serie di attacchi pishing fra allegati falsi e link a payload compromessi, qualcuno s'e' fatto fregare e ha aperto un documento infetto in azienda; le mail erano confezionate a regola d'arte e sembravano arrivare dai nostri clienti o fornitori, ne sono arrivati a iosa nei giorni scorsi.
Han preso il controllo del nostro server di dominio, se le date son corrette e' accaduto a inizio settembre ma la data potrebbe essere stata falsificata per far apparire i files come vecchi; il server di dominio disattivava gli antivirus tramite active directory e facevano il deploy di un eseguibile in molto punti del disco, in autorun di tutti gli utenti ed ogni exe aveva nome, posizione e dimensione variabile; non era il criptolocker vero e proprio; su windows 7 creava delle liste di esclusione in microsoft essentials.
Alle 18 tutti vanno a casa ma i pc rimangono accesi; poco dopo il server di dominio oppure l'eseguibile installato hanno creato ed eseguito su tutte le macchine un batch che ha scaricato un eseguibile e una dll su c:\windows e li ha mandati in esecuzione, il nomi cambiano a seconda delle aziende, questo e' il vero e proprio cryptovirus che verso la notte ha avviato la crittazione dei files nell'intero disco ; gli antivirus non hanno agito, probabilmente disattivati nuovamente dal server server di dominio.
Alla luxottica pensiamo abbiano subito lo stesso attacco e' hanno avuto sfortuna a giudicare dalle nes, al nostro sistema le operazioni di scrittura non sono passate inosservate.....
La pulizia delle macchine non e' terminata, non sappiamo quando terminera' anche perche' saltano fuori continuamente modifiche, speriamo di concludere anche perche' la procedura di pulizia si sta rivelando lunga.
Windows7 e' uscito quasi indenne, non siamo certi del motivo esatto.
Win10 e' stato il piu' colpito; la quantita' di estensioni compromesse e' enorme, abbiamo dovuto reinstallare alcune macchine perche' non valeva la pena di recuperarle, i rimanenti pc col vecchio xp nemmeno partono, reparti produttivi e altre societa' nell'azienda, hanno le loro reti ben separate, nessun danno.
I server erano gia' pronti all'attacco fra dummy files e backups periodici e praticamente nulla e' stato perso.
La posta era backuppata e pure i software aziendali, mezza giornata di dati perduti.
Rimangono dei dubbi sul fatto che possano aver rubato dati aziendali sensibili dato che avevano le mail di fornitori e clienti, ma i dati piu' sensibili hanno un metodo di gestione differente.
L'unica soddisfazione dopo 3 giorni di lavoro intenso e' che hanno lavorato giorni e giorni per tenderci la trappola, e non so cosa gli sia costato, ma non hanno fatto tutto per niente; non ho idea delle altre aziende, abbiamo solo dei riscontro nei forum dedicati che confermano che altre aziende sono coinvolte senza tuttavia conoscere l'entita' dei danni.
E per ora mi femo che son stufo di scrivere, vista anche la giornata impegnativa.

Ottimo!
Sono certo che è stato un lavoro lungo e fastidioso, ma almeno c'è anche la soddisfazione di non aver dato 1€ a quei baxxxxdi figli di puxxxxa

[igiolo]

Quote:

Originariamente inviato da Busone di Higgs

- CUT -
....E per ora mi femo che son stufo di scrivere, vista anche la giornata impegnativa.

grazie x la condivisione!!!!
se puoi, che av utilizzate, e perimetralmente che fw/antispam avete per le mail?
anche in privato
ed in generale, che procedure avete per gestire situazioni simili
backup client
sala DR
gli i/o eccessivi, vi sono stati notificati da che sistema?
e soprattutto come avete separato i backup dal resto della rete per proteggerli?
ti sei appoggiato ad un SOC esterno per gestire la cosa in tempi rapidi?
L'abbiamo preso anche noi anni fa, per fortuna data la mia fissa x update e permissioning strettissime, è "imploso" nel solo client e alcune share di rete, ma non va sempre così bene
specie se l'attacco è MIRATO e pianificato come nel vostro caso, e suppongo sia una grossa azienda la tua "famosa" anche.

[igiolo]

Quote:

Originariamente inviato da JulianCarax89

IDEM anche per noi.
Da noi l'attacco è stato scagliato il 16 settembre mentre la criptazione è avvenuta mercoledì 23 di sera tardi. Fortunatamente molti PC erano spenti, solo 6 sono risultati infetti.
Hanno recuperato le credenziali di un utente admin, sono saliti fino al domain controller e hanno tentato di lanciare l'installazione del criptolocker in tutti i pc di dominio opportunamente salvati in un file di testo.
Il virus era un .dll offuscato, Webroot si è accorto che qualcosa stava succedendo ma non è riuscito a fermare la crittazione... Hanno portato a segno un databreach usando i protocolli di Skype, non sono riusciti a disabilitare il firewall che da noi è fisico.
Fortunatamente è successo di sera e non in orario lavorativo e abbiamo perso solo un giorno lavorativo.

Il riscatto era di 1.8 milioni per noi. Sono fuori di cervello

in che senso utilizzando i protocolli di skype?
questa mi è nuova...

[aqua84]

Quote:

Originariamente inviato da Redazione di Hardware Upgrade

Il bug dimostrato dai ricercatori di Secura si chiama Zerologon, è estremamente grave e dimostra i motivi per cui è sempre d'obbligo mantenere il proprio PC aggiornato

eh... si... sperando che sia incluso il bugfix in quell'aggiornamento...

[386DX40]

Quote:

Originariamente inviato da Busone di Higgs

...
Han preso il controllo del nostro server di dominio, se le date son corrette e' accaduto a inizio settembre ma la data potrebbe essere stata falsificata per far apparire i files come vecchi; il server di dominio disattivava gli antivirus tramite active directory e facevano il deploy di un eseguibile in molto punti del disco, in autorun di tutti gli utenti ed ogni exe aveva nome, posizione e dimensione variabile; non era il criptolocker vero e proprio; su windows 7 creava delle liste di esclusione in microsoft essentials.
Alle 18 tutti vanno a casa ma i pc rimangono accesi; poco dopo il server di dominio oppure l'eseguibile installato hanno creato ed eseguito su tutte le macchine un batch che ha scaricato un eseguibile e una dll su c:\windows e li ha mandati in esecuzione, il nomi cambiano a seconda delle aziende, questo e' il vero e proprio cryptovirus che verso la notte ha avviato la crittazione dei files nell'intero disco ; gli antivirus non hanno agito, probabilmente disattivati nuovamente dal server server di dominio.
...

Mi chiedevo se e' previsto che i PC degli utenti aziendali rimangano accessi e/o per qualche motivo (aggiornamenti previsti, attività schedulate etc..) o se non si possa fare come una volta ai "miei tempi" quando Windows 2000 e XP erano gli o.s. piu' moderni sui clients ed erano spenti a fine giornata in una grande azienda con una grande infrastruttura di rete. Immagino che il problema sarebbe solo stato rinviato ma durante la presenza degli addetti alla sicurezza?