Bug gravissimo su Windows Server: è uno dei peggiori mai segnalati a Microsoft

Bug gravissimo su Windows Server: è uno dei peggiori mai segnalati a Microsoft

Il bug dimostrato dai ricercatori di Secura si chiama Zerologon, è estremamente grave e dimostra i motivi per cui è sempre d'obbligo mantenere il proprio PC aggiornato

di pubblicata il , alle 13:01 nel canale Sistemi Operativi
MicrosoftWindows
 

Senza che se ne desse troppa importanza mediatica, ad agosto Microsoft ha corretto uno dei bug più gravi su Windows mai segnalati all'azienda. La falla è stata corretta con il Patch Tuesday di agosto, attraverso un fix segnalato con l'identificativo CVE-2020-1472: nei documenti di supporto si legge che il bug avrebbe permesso una "elevazione di privilegi" su Netlogon, il protocollo che autentica gli utenti rispetto ai controller di dominio. La vulnerabilità ha ottenuto il livello di gravità massimo (10), ma dettagli specifici non son stati resi pubblici fino alle scorse ore.

Oltre al giudizio di Microsoft, insomma, utenti e admin IT non hanno mai saputo quanto fosse realmente grave il problema, che avrebbe concesso a un potenziale aggressore di prendere facilmente il controllo su un sistema Windows Server, anche addirittura interagendo come controller di dominio all'interno di reti aziendali.

A fare chiarezza è stato un team di ricercatori di sicurezza olandesi, che ha pubblicato un rapporto tecnico in cui descrive CVE-2020-1472 in modo più approfondito. Secondo il team olandese il bug, denominato Zerologon, è davvero degno del suo punteggio di gravità CVSSv3 10/10 e sfrutta l'algoritmo crittografico (considerato debole) utilizzato nel processo di autenticazione di Netlogon.

La falla, nella fattispecie, consente ad un attaccante di manipolare a proprio vantaggio le procedure di autenticazione via Netlogon, cosicché possa fingersi una qualsiasi macchina presente sulla rete, possa disabilitare le feature di sicurezza nel processo di autenticazione o cambiare la password di accesso di un computer sul controller di dominio Active Directory. Il nome Zerologon dato dai ricercatori olandesi è dovuto al fatto che l'attacco può essere praticato aggiungendo una serie di "0" all'interno di alcuni parametri utilizzati nell'autenticazione via Netlogon.

Zerologon, uno dei bug di Windows più gravi mai segnalati

La durata dell'attacco può essere estremamente breve, anche di soli tre secondi, con Zerologon che pone pochissimi limiti all'aggressore. Ad esempio quest'ultimo può fingere di essere il controller di dominio stesso, e modificare anche la propria password, operazione che offre all'aggressore il controllo di tutta la rete aziendale. Fra i limiti, però, ce n'è uno estremamente importante: Zerologon non può essere utilizzato per attaccare reti se non si è già collegati con le stesse, tuttavia basta rispettare quest'unica richiesta, che la rete risulta facilmente espugnabile.

"Questo attacco può avere un impatto enorme", ha dichiarato Secura. "Consente a qualsiasi aggressore sulla rete locale di compromettere completamente il dominio Windows". Sfruttandolo, inoltre, l'aggressore può inoculare malware e ransomware sulla rete aziendale, utilizzando quest'ultima per la diffusione ulteriore del codice malevolo.

Ci sono anche buone notizie, chiaramente: la prima patch correttiva dovrebbe già essere stata installata sulla maggior parte dei computer in circolazione. Il suo processo di applicazione è composto da due fasi: una avvenuta il mese scorso con un fix temporaneo che rende obbligatorie per l'accesso su tutte le reti le feature di sicurezza di Netlogon che l'attacco va ad insidiare, mentre la patch completa è prevista per febbraio 2021 e sarà utile se l'exploit verrà sfruttato attivamente.

Microsoft prevede che la prossima patch possa negare la possibilità di autenticazione su alcuni dispositivi, ma Zerologon può rappresentare un pericolo vero e proprio per le realtà aziendali, e i vantaggi nel farlo a favore di enti malevoli possono essere molteplici. Questo è ancor più vero per il fatto che è già disponibile pubblicamente il codice proof-of-concept di un exploit che sfrutta Zerologon, quindi la vulnerabilità è aperta a tutti coloro che vogliono sfruttarla. Secura ha comunque rilasciato uno script Python utile per gli amministratori IT che consente di individuare se il proprio controller di dominio ha ricevuto i fix rilasciati da Microsoft e se è al sicuro.

8 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Cfranco15 Settembre 2020, 13:29 #1
possa fingersi una qualsiasi macchina presente sulla rete, possa disabilitare le feature di sicurezza nel processo di autenticazione o cambiare la password di accesso di un computer sul controller di dominio Active Directory

Manca solo l'invasione delle cavallette
matrix8315 Settembre 2020, 13:39 #2
Windows 10 o Windows Server? Perchè sono due cose diverse.
igiolo15 Settembre 2020, 13:47 #3
Originariamente inviato da: matrix83
Windows 10 o Windows Server? Perchè sono due cose diverse.


beh entrambe ovviamente
gli handshake client server
come sempre grazie hwupgrade x dare risalto a queste info.
ma non esistono update ad oggi giusto?
igiolo15 Settembre 2020, 13:48 #4
matrix8315 Settembre 2020, 13:55 #5
Originariamente inviato da: igiolo
beh entrambe ovviamente
gli handshake client server
come sempre grazie hwupgrade x dare risalto a queste info.
ma non esistono update ad oggi giusto?


No è solo Windows server. https://portal.msrc.microsoft.com/e...y/CVE-2020-1472
Come al solito su HWup scrivono news senza manco sapere di cosa parlano.
igiolo15 Settembre 2020, 14:18 #6
Originariamente inviato da: matrix83
No è solo Windows server. https://portal.msrc.microsoft.com/e...y/CVE-2020-1472
Come al solito su HWup scrivono news senza manco sapere di cosa parlano.


ma no dai ce ne fossero che parlano di queste cose.
è tra client server, con fix lato server
*Pegasus-DVD*15 Settembre 2020, 17:17 #7
buuuuuuuuuuuuuuuuuuuuuuuuuuggggggggggggggggggggggggg
lammoth15 Settembre 2020, 17:37 #8
oh my god, il mondo sta per finire!

ah no è già stato patchato

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^