Dopo il rilascio delle patch di sicurezza ad agosto, Microsoft è preoccupata dalla diffusione della pericolosa vulnerabilità Zerologon.

12 OTTOBRE 2020 | Dopo gli avvertimenti di Microsoft, iniziano a diffondersi diverse minacce che sfruttano la vulnerabilità Zerologon. Anche l’FBI ha messo in guardia governi e istituzioni dai possibili rischi derivanti dall’exploit della falla nei domini non protetti con le ultime patch con possibili ripercussioni su eventi importanti, come le elezioni presidenziali negli USA.

CISA ha recentemente osservato che gli attori avanzati di minacce persistenti (APT) sfruttano più vulnerabilità legacy in combinazione con una nuova vulnerabilità di escalation dei privilegi, CVE-2020-1472, in Windows Netlogon. La tattica comunemente utilizzata, nota come concatenamento delle vulnerabilità, sfrutta più vulnerabilità nel corso di una singola intrusione per compromettere una rete o un’applicazione. 

Questa recente attività dannosa è stata spesso, ma non esclusivamente, diretta a reti governative federali e statali, locali, tribali e territoriali (SLTT). Sebbene non sembri che questi obiettivi siano stati selezionati a causa della loro vicinanza alle informazioni sulle elezioni, potrebbe esserci qualche rischio per le informazioni sulle elezioni ospitate sulle reti governative.

La CISA è a conoscenza di alcuni casi in cui questa attività ha comportato l’accesso non autorizzato ai sistemi di supporto elettorale; tuttavia, la CISA non ha ad oggi prove che l’integrità dei dati sulle elezioni sia stata compromessa. Ci sono passaggi che i funzionari elettorali, il loro staff IT SLTT di supporto ei fornitori possono intraprendere per difendersi da questa attività informatica dannosa.

6 OTTOBRE 2020 | Microsoft torna a mettere in guardia le aziende a proposito della vulnerabilità Zerologon riportando possibili attacchi hacker provenienti dall’Iran.

29 SETTEMBRE 2020 | Dopo l’allarme lanciato alle aziende, Microsoft ha pubblicato una pagina di assistenza dedicata alla vulnerabilità Netlogon (Zerologon) con un’informativa dettagliata e tutti i passaggi da seguire per gli admin di domini.

Zerologon attacca le aziende

La pericolosa falla di sicurezza CVE-2020-1472, denominata Zerologon, si sta diffondendo. Stando a quanto riporta Microsoft, sono in atto numerosi attacchi che sfruttano l’exploit in grado di prendere il controllo di un dominio. Microsoft era già corsa ai ripari ad agosto tappando la falla rilasciata in occasione del consueto patch thuesday.

Esiste una vulnerabilità legata all’acquisizione di privilegi più elevati quando un utente malintenzionato stabilisce una connessione vulnerabile del canale protetto Netlogon a un controller di dominio, utilizzando il protocollo MS-NRPC (Netlogon Remote Protocol ). Un utente malintenzionato che ha sfruttato con successo la vulnerabilità potrebbe eseguire un’applicazione appositamente predisposta su un dispositivo in rete.

Per sfruttare la vulnerabilità, un utente malintenzionato non autenticato dovrebbe utilizzare MS-NRPC per connettersi a un controller di dominio e ottenere l’accesso come amministratore di dominio.

La vulnerabilità Zero Day scoperta riguarda le aziende e gli amministratori di Windows Server, Windows 10 non è coinvolto. Per tanto Microsoft raccomanda di tenere aggiornati i sistemi per installare tutte le ultime patch di sicurezza.

Cosa ne pensate di questi problemi di sicurezza? Fateci sapere la vostra opinione nei commenti.

Articolo di Windows Blog Italia