Pericolo Zerologon: la patch è stata trascurata

L'agenzia USA per la sicurezza informatica impone la patch per Zerologon: troppi domain controller Windows sono a rischio

Vulnerabilità
Anche le autorità governative statunitensi - nello specifico la US Cybersecurity and Infrastructure Security Agency (CISA) - hanno sottolineato l'importanza di applicare la patch già disponibile per risolvere la vulnerabilità battezzata Zerologon. Non accade spesso che la CISA imponga a tutte le agenzie federali statunitensi di "tappare" una falla in tempi molto brevi. Per Zerologon è stata fatta un eccezione e le varie PA statunitensi hanno avuto giusto un weekend per farlo. Segno che la vulnerabilità è davvero pericolosa.

Zerologon è una vulnerabilità rilevata dagli olandesi di Secura. In gergo tecnico la vulnerabilità è indicata come "Unauthenticated domain controller compromise by subverting Netlogon cryptography". Ed è stata classificata come CVE-2020-1472. La vulnerabilità sfrutta una debolezza intrinseca del protocollo Netlogon di Microsoft. Netlogon è un protocollo RPC (Remote Prcedure Call) che non usa unicamente sistemi di cifratura evoluti. Perché è stato progettato in anni in cui i client di rete non avevano sufficienti potenzialità.

Il risultato è che alcuni passi del funzionamento di Netlogon, nella gestione delle richieste di accesso dei clienti a un domain controller, possono essere sfruttati per fini ostili da un attaccante. In questo modo si può, in sintesi e in linea teorica, azzerare la password di un domain controller e accedervi. Da qui, si prende di fatto il controllo di una intera rete.
1118px internet1Microsoft ha preso molto seriamente il pericolo rappresentato da Zerologon. Gli ha assegnato una "pericolosità" di 10 su 10. Ed ha distribuito la patch all'interno del "patch tuesday" dello scorso 11 agosto. La patch va applicata a tutti i controllori di dominio presenti nella propria rete. È solo il primo passo, però. Microsoft prevede di rilasciare a febbraio 2021 un ulteriore aggiornamento software che impone ai domain controller l'attivazione di un "enforcement mode" che gestisce in maniera più sicura Netlogon.

La questione chiave, che ha motivato anche la CISA ad intervenire, non è solo la pericolosità intrinseca di Zerologon. Sta nel fatto che a più di un mese dal rilascio della patch sembra che siano ancora moltissimi i domain controller vulnerabili in rete. Per di più, secondo la CISA circolerebbe già in rete il codice necessario a creare un exploit. Il che aumenta sensibilmente il rischio di compromissione dei server in rete.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori