Ad agosto Microsoft ha corretto su Windows uno dei bug più gravi della storia. La falla è stata corretta con il Patch Tuesday di agosto, attraverso un fix segnalato con l’identificativo CVE-2020-1472.
La vulnerabilità ha ottenuto il livello di gravità massimo (10), ma fino a pochi giorni fa non sono stati resi noti i dettagli dell’attacco.
A fare chiarezza è stato un team di ricercatori di sicurezza olandesi, che ha pubblicato un rapporto tecnico in cui descrive CVE-2020-1472 in modo più approfondito. Secondo il team olandese il bug, denominato Zerologon sfrutta l’algoritmo crittografico, considerato debole, utilizzato nel processo di autenticazione di Netlogon.
La falla, in particolare, consente ad un attaccante di manipolare a proprio vantaggio le procedure di autenticazione via Netlogon, cosicché possa fingersi una qualsiasi macchina presente sulla rete e possa disabilitare le feature di sicurezza nel processo di autenticazione o cambiare la password di accesso di un computer sul controller di dominio Active Directory. Il nome Zerologon è stato dato dai ricercatori olandesi ed è dovuto al fatto che l’attacco può essere praticato aggiungendo una serie di “0” all’interno di alcuni parametri utilizzati nell’autenticazione via Netlogon.
Fra i limiti di Zerologon troviamo il fatto di non poter essere utilizzato per attaccare reti se non si è già collegati con le stesse.
“Questo attacco può avere un impatto enorme”, ha dichiarato Secura. “Consente a qualsiasi aggressore sulla rete locale di compromettere completamente il dominio Windows”. Sfruttandolo, inoltre, l’aggressore può inoculare malware e ransomware sulla rete aziendale, utilizzando quest’ultima per la diffusione ulteriore del codice malevolo.
Zerologon può rappresentare un pericolo vero e proprio per le realtà aziendali. Questo è ancor più vero per il fatto che è già disponibile pubblicamente il codice proof-of-concept di un exploit che sfrutta Zerologon, quindi la vulnerabilità è aperta a tutti coloro che vogliono sfruttarla.
Trend Micro – Deep Security blocca la minaccia applicando regole di Intrusion prevention system.