Bug gravissimo su Windows Server: è uno dei peggiori mai segnalati a Microsoft

Bug gravissimo su Windows Server: è uno dei peggiori mai segnalati a Microsoft

Il bug dimostrato dai ricercatori di Secura si chiama Zerologon, è estremamente grave e dimostra i motivi per cui è sempre d'obbligo mantenere il proprio PC aggiornato

di pubblicata il , alle 13:01 nel canale Sistemi Operativi
MicrosoftWindows
 

Senza che se ne desse troppa importanza mediatica, ad agosto Microsoft ha corretto uno dei bug più gravi su Windows mai segnalati all'azienda. La falla è stata corretta con il Patch Tuesday di agosto, attraverso un fix segnalato con l'identificativo CVE-2020-1472: nei documenti di supporto si legge che il bug avrebbe permesso una "elevazione di privilegi" su Netlogon, il protocollo che autentica gli utenti rispetto ai controller di dominio. La vulnerabilità ha ottenuto il livello di gravità massimo (10), ma dettagli specifici non son stati resi pubblici fino alle scorse ore.

Oltre al giudizio di Microsoft, insomma, utenti e admin IT non hanno mai saputo quanto fosse realmente grave il problema, che avrebbe concesso a un potenziale aggressore di prendere facilmente il controllo su un sistema Windows Server, anche addirittura interagendo come controller di dominio all'interno di reti aziendali.

A fare chiarezza è stato un team di ricercatori di sicurezza olandesi, che ha pubblicato un rapporto tecnico in cui descrive CVE-2020-1472 in modo più approfondito. Secondo il team olandese il bug, denominato Zerologon, è davvero degno del suo punteggio di gravità CVSSv3 10/10 e sfrutta l'algoritmo crittografico (considerato debole) utilizzato nel processo di autenticazione di Netlogon.

La falla, nella fattispecie, consente ad un attaccante di manipolare a proprio vantaggio le procedure di autenticazione via Netlogon, cosicché possa fingersi una qualsiasi macchina presente sulla rete, possa disabilitare le feature di sicurezza nel processo di autenticazione o cambiare la password di accesso di un computer sul controller di dominio Active Directory. Il nome Zerologon dato dai ricercatori olandesi è dovuto al fatto che l'attacco può essere praticato aggiungendo una serie di "0" all'interno di alcuni parametri utilizzati nell'autenticazione via Netlogon.

Zerologon, uno dei bug di Windows più gravi mai segnalati

La durata dell'attacco può essere estremamente breve, anche di soli tre secondi, con Zerologon che pone pochissimi limiti all'aggressore. Ad esempio quest'ultimo può fingere di essere il controller di dominio stesso, e modificare anche la propria password, operazione che offre all'aggressore il controllo di tutta la rete aziendale. Fra i limiti, però, ce n'è uno estremamente importante: Zerologon non può essere utilizzato per attaccare reti se non si è già collegati con le stesse, tuttavia basta rispettare quest'unica richiesta, che la rete risulta facilmente espugnabile.

"Questo attacco può avere un impatto enorme", ha dichiarato Secura. "Consente a qualsiasi aggressore sulla rete locale di compromettere completamente il dominio Windows". Sfruttandolo, inoltre, l'aggressore può inoculare malware e ransomware sulla rete aziendale, utilizzando quest'ultima per la diffusione ulteriore del codice malevolo.

Ci sono anche buone notizie, chiaramente: la prima patch correttiva dovrebbe già essere stata installata sulla maggior parte dei computer in circolazione. Il suo processo di applicazione è composto da due fasi: una avvenuta il mese scorso con un fix temporaneo che rende obbligatorie per l'accesso su tutte le reti le feature di sicurezza di Netlogon che l'attacco va ad insidiare, mentre la patch completa è prevista per febbraio 2021 e sarà utile se l'exploit verrà sfruttato attivamente.

Microsoft prevede che la prossima patch possa negare la possibilità di autenticazione su alcuni dispositivi, ma Zerologon può rappresentare un pericolo vero e proprio per le realtà aziendali, e i vantaggi nel farlo a favore di enti malevoli possono essere molteplici. Questo è ancor più vero per il fatto che è già disponibile pubblicamente il codice proof-of-concept di un exploit che sfrutta Zerologon, quindi la vulnerabilità è aperta a tutti coloro che vogliono sfruttarla. Secura ha comunque rilasciato uno script Python utile per gli amministratori IT che consente di individuare se il proprio controller di dominio ha ricevuto i fix rilasciati da Microsoft e se è al sicuro.

17 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Cfranco15 Settembre 2020, 13:29 #1
possa fingersi una qualsiasi macchina presente sulla rete, possa disabilitare le feature di sicurezza nel processo di autenticazione o cambiare la password di accesso di un computer sul controller di dominio Active Directory

Manca solo l'invasione delle cavallette
matrix8315 Settembre 2020, 13:39 #2
Windows 10 o Windows Server? Perchè sono due cose diverse.
igiolo15 Settembre 2020, 13:47 #3
Originariamente inviato da: matrix83
Windows 10 o Windows Server? Perchè sono due cose diverse.


beh entrambe ovviamente
gli handshake client server
come sempre grazie hwupgrade x dare risalto a queste info.
ma non esistono update ad oggi giusto?
igiolo15 Settembre 2020, 13:48 #4
matrix8315 Settembre 2020, 13:55 #5
Originariamente inviato da: igiolo
beh entrambe ovviamente
gli handshake client server
come sempre grazie hwupgrade x dare risalto a queste info.
ma non esistono update ad oggi giusto?


No è solo Windows server. https://portal.msrc.microsoft.com/e...y/CVE-2020-1472
Come al solito su HWup scrivono news senza manco sapere di cosa parlano.
igiolo15 Settembre 2020, 14:18 #6
Originariamente inviato da: matrix83
No è solo Windows server. https://portal.msrc.microsoft.com/e...y/CVE-2020-1472
Come al solito su HWup scrivono news senza manco sapere di cosa parlano.


ma no dai ce ne fossero che parlano di queste cose.
è tra client server, con fix lato server
*Pegasus-DVD*15 Settembre 2020, 17:17 #7
buuuuuuuuuuuuuuuuuuuuuuuuuuggggggggggggggggggggggggg
lammoth15 Settembre 2020, 17:37 #8
oh my god, il mondo sta per finire!

ah no è già stato patchato
allmaster20 Settembre 2020, 16:13 #9
ma se non ho capito male deve essere un PC del dominio a lanciare l'attacco o basta che sia connesso alla stessa rete?

Come sarebbe febbraio 2021?
Busone di Higgs21 Settembre 2020, 21:58 #10
Tre giorni di lavoro per rientrare del danni fatti da un ransomware che ha sfruttato questa falla, pero' non e' la prima volta che ci capita ed eravamo preparati; le tecniche che hanno usato fanno impallidire i ransomware degli anni scorsi; il riscatto richiestoci era di 200 mila dollari.
In breve, dopo un a serie di attacchi pishing fra allegati falsi e link a payload compromessi, qualcuno s'e' fatto fregare e ha aperto un documento infetto in azienda; le mail erano confezionate a regola d'arte e sembravano arrivare dai nostri clienti o fornitori, ne sono arrivati a iosa nei giorni scorsi.
Han preso il controllo del nostro server di dominio, se le date son corrette e' accaduto a inizio settembre ma la data potrebbe essere stata falsificata per far apparire i files come vecchi; il server di dominio disattivava gli antivirus tramite active directory e facevano il deploy di un eseguibile in molto punti del disco, in autorun di tutti gli utenti ed ogni exe aveva nome, posizione e dimensione variabile; non era il criptolocker vero e proprio; su windows 7 creava delle liste di esclusione in microsoft essentials.
Alle 18 tutti vanno a casa ma i pc rimangono accesi; poco dopo il server di dominio oppure l'eseguibile installato hanno creato ed eseguito su tutte le macchine un batch che ha scaricato un eseguibile e una dll su c:\windows e li ha mandati in esecuzione, il nomi cambiano a seconda delle aziende, questo e' il vero e proprio cryptovirus che verso la notte ha avviato la crittazione dei files nell'intero disco ; gli antivirus non hanno agito, probabilmente disattivati nuovamente dal server server di dominio.
Alla luxottica pensiamo abbiano subito lo stesso attacco e' hanno avuto sfortuna a giudicare dalle nes, al nostro sistema le operazioni di scrittura non sono passate inosservate.....
La pulizia delle macchine non e' terminata, non sappiamo quando terminera' anche perche' saltano fuori continuamente modifiche, speriamo di concludere anche perche' la procedura di pulizia si sta rivelando lunga.
Windows7 e' uscito quasi indenne, non siamo certi del motivo esatto.
Win10 e' stato il piu' colpito; la quantita' di estensioni compromesse e' enorme, abbiamo dovuto reinstallare alcune macchine perche' non valeva la pena di recuperarle, i rimanenti pc col vecchio xp nemmeno partono, reparti produttivi e altre societa' nell'azienda, hanno le loro reti ben separate, nessun danno.
I server erano gia' pronti all'attacco fra dummy files e backups periodici e praticamente nulla e' stato perso.
La posta era backuppata e pure i software aziendali, mezza giornata di dati perduti.
Rimangono dei dubbi sul fatto che possano aver rubato dati aziendali sensibili dato che avevano le mail di fornitori e clienti, ma i dati piu' sensibili hanno un metodo di gestione differente.
L'unica soddisfazione dopo 3 giorni di lavoro intenso e' che hanno lavorato giorni e giorni per tenderci la trappola, e non so cosa gli sia costato, ma non hanno fatto tutto per niente; non ho idea delle altre aziende, abbiamo solo dei riscontro nei forum dedicati che confermano che altre aziende sono coinvolte senza tuttavia conoscere l'entita' dei danni.
E per ora mi femo che son stufo di scrivere, vista anche la giornata impegnativa.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^