L'agenzia USA per la sicurezza informatica impone la patch per Zerologon: troppi domain controller Windows sono a rischio
Anche le autorità governative statunitensi - nello specifico la US Cybersecurity and Infrastructure Security Agency (CISA) - hanno sottolineato l'importanza di
applicare la patch già disponibile per risolvere la vulnerabilità battezzata
Zerologon. Non accade spesso che la CISA imponga a tutte le agenzie federali statunitensi di "tappare" una falla in tempi molto brevi. Per Zerologon è stata fatta un eccezione e le varie PA statunitensi hanno avuto giusto un weekend per farlo. Segno che la vulnerabilità è
davvero pericolosa.
Zerologon è una vulnerabilità rilevata dagli olandesi di Secura. In gergo tecnico la vulnerabilità è indicata come "
Unauthenticated domain controller compromise by subverting Netlogon cryptography". Ed è stata classificata come
CVE-2020-1472. La vulnerabilità sfrutta una debolezza intrinseca del protocollo Netlogon di Microsoft. Netlogon è un protocollo RPC (Remote Prcedure Call) che
non usa unicamente sistemi di cifratura evoluti. Perché è stato progettato in anni in cui i client di rete non avevano sufficienti potenzialità.
Il risultato è che alcuni passi del funzionamento di Netlogon, nella gestione delle richieste di accesso dei clienti a un domain controller, possono essere
sfruttati per fini ostili da un attaccante. In questo modo si può,
in sintesi e in linea teorica,
azzerare la password di un domain controller e accedervi. Da qui, si prende di fatto il controllo di una intera rete.
Microsoft ha preso molto seriamente il pericolo rappresentato da Zerologon. Gli ha assegnato una "pericolosità" di 10 su 10. Ed ha distribuito la patch all'interno del "patch tuesday"
dello scorso 11 agosto. La patch va applicata a tutti i controllori di dominio presenti nella propria rete. È solo il primo passo, però. Microsoft prevede di rilasciare
a febbraio 2021 un ulteriore aggiornamento software che impone ai domain controller l'attivazione di un "enforcement mode" che gestisce in maniera più sicura Netlogon.
La questione chiave, che ha motivato anche la CISA ad
intervenire, non è solo la pericolosità intrinseca di Zerologon. Sta nel fatto che a più di un mese dal rilascio della patch sembra che
siano ancora moltissimi i domain controller vulnerabili in rete. Per di più, secondo la CISA circolerebbe già in rete il codice necessario a
creare un exploit. Il che aumenta sensibilmente il rischio di compromissione dei server in rete.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
SecurityOpenLab.it iscriviti alla nostra
Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News!
Seguici