Zerologon continua ad essere protagonista della cyber security. Si tratta di una falla particolarmente pericolosa a cui Microsoft ha assegnato una "pericolosità" di 10 su 10. Può consentire a un attaccante di sfruttare l'algoritmo crittografico utilizzato nel processo Netlogon di Microsoft e di impersonare l'identità di qualsiasi computer, al momento di autenticarsi con il controller di dominio.

Soprattutto, la criticità risiede nella mancanza di una soluzione completa. Gastone Nencini, Country Manager Trend Micro Italia, spiega infatti che la patch attualmente disponibile (pubblicata nel patch Tuesday di agosto) consente ai controller di dominio di proteggere i dispositivi.

Per essere totalmente al sicuro, tuttavia, occorrerà una seconda patch, prevista al momento per il primo trimestre del 2021. Avrà il compito di rafforzare il Remote Procedure Call (RPC) di Netlogon per risolvere completamente questo bug. Dopo aver applicato la patch, si dovranno comunque apportare modifiche al controller di dominio.

Le insidie di Zerologon

Il motivo per il quale oggi non si possono dormire sonni tranquilli è che la patch che è stata distribuita (e di cui è fortemente caldeggiata l'installazione) non risolve il problema al 100%. Tuttavia il problema è noto, quindi i cyber criminali sono già al lavoro per trovare il modo di sfruttarlo.

Gastone Nencini spiega che il tempo medio per creare una patch è compreso tra 60 e 150 giorni. Questa vulnerabilità è stata pubblicata all'inizio di agosto, quindi il tempo medio per l'implementazione della patch è compreso tra ottobre 2020 e gennaio 2021.

Subito dopo la pubblicazione delle patch relative alle ultime vulnerabilità, i cybercriminali si mettono al lavoro per invertirle e per scrivere exploit che sfruttino il bug prima che le patch vengano applicate. Significa che le aziende rimangono esposte a una minaccia conosciuta fino a 5 mesi.

Il virtual patching

È in questo frangente di tempo che diventa fondamentale il virtual patching. Si tratta di una soluzione creata ad hoc per gestire le criticità date dal ritardo o dalla mancata applicazione delle patch per le vulnerabilità note. È un sistema che fornisce un ulteriore livello di sicurezza per proteggersi prima di applicare la patch ufficiale del vendor.

Il virtual patching agisce come una patch a tutti gli effetti, proteggendo in modo specifico l’ambiente nel caso in cui qualcuno tenti di sfruttare una specifica vulnerabilità. Trend Micro protegge da Zerologon e da migliaia di altre vulnerabilità attraverso patch virtuali, come parte del processo di patch management.