FBI/DHS: i sistemi elettorali del governo sono minacciati dagli exploit attivi di Zerologon

383

L'FBI e il braccio di sicurezza informatica del Dipartimento della sicurezza interna hanno affermato di aver rilevato hacker che sfruttano una vulnerabilità critica di Windows contro i governi statali e locali e che, in alcuni casi, gli attacchi vengono utilizzati per violare le reti utilizzate per supportare le elezioni.

I membri di APT non specificati, l'abbreviazione di minacce persistenti avanzate, stanno sfruttando una vulnerabilità di Windows chiamata Zerologon. Fornisce agli aggressori che hanno già un punto d'appoggio su una rete vulnerabile l'accesso ai potentissimi controller di dominio che gli amministratori utilizzano per allocare nuovi account e gestire quelli esistenti.

Per ottenere l'accesso iniziale, gli aggressori potrebbero sfruttare vulnerabilità separate in firewall, VPN e altri prodotti di aziende tra cui Juniper, Pulse Secure, Citrix (ex NetScaler) e Palo Alto Networks. Tutte le vulnerabilità, incluso Zerologon, hanno ricevuto patch, ma come evidenziato dall'avvertimento di venerdì del DHS e dell'FBI, non tutti potrebbero averle installate. Qualsiasi inazione mette a rischio governi e sistemi elettorali a tutti i livelli.

I funzionari hanno scritto:

Questa recente attività dannosa è stata spesso, ma non esclusivamente, diretta a reti governative federali e statali, locali, tribali e territoriali (SLTT). Sebbene non sembri che questi obiettivi vengano selezionati a causa della loro vicinanza alle informazioni sulle elezioni, potrebbero esserci dei rischi per le informazioni sulle elezioni ospitate nelle reti governative.

La CISA è a conoscenza di alcuni casi in cui tale attività ha comportato l'accesso non autorizzato ai sistemi di supporto elettorale; tuttavia, la CISA non ha finora alcuna prova che l'integrità dei dati elettorali sia stata compromessa. Ci sono misure che i funzionari elettorali, il loro personale IT di supporto SLTT e i fornitori possono intraprendere per difendersi da questa attività informatica dannosa.

Zerologon funziona inviando una stringa di zeri in una serie di messaggi che utilizzano il protocollo Netlogon, su cui si basano i server Windows per una serie di attività, inclusa la possibilità per gli utenti finali di accedere a una rete. Le persone senza autenticazione possono utilizzare l'exploit per ottenere credenziali amministrative del dominio, purché gli aggressori abbiano la capacità di stabilire connessioni TCP con un controller di dominio vulnerabile. Il requisito di stabilire connessioni TCP con il controller di dominio è probabilmente il motivo per cui gli aggressori stanno concatenando Zerologon con exploit di VPN e firewall.

Annuncio pubblicitario

L'avviso di venerdì fornisce alcune indicazioni per le organizzazioni che pensano di essere state o potrebbero essere state compromesse. La cosa più importante è che le vulnerabilità mirate, alcune che sono disponibili da più di un anno, dovrebbero essere applicate o l'hardware che eseguono dovrebbe essere disconnesso dalle loro reti.

Storia aggiornata nel terzo paragrafo per includere i cambiamenti nell'avviso FBI/DHS.